|

Kostenlose Website & Server Migration

🔥 PreiseLoginMelden Sie sich anUnterstützungWiederverkäuferPartner
Oberst Server
Sicherheit & Firewall

Hacker nutzen aktiv die Telnetd-Sicherheitslücke für Root-Zugriff aus

telnetd Vulnerability
Clara2026-02-22

Eine kritische Sicherheitslücke im Telnetd-Server von GNU InetUtils (CVE-2026-24061) wird von Angreifern weltweit aktiv ausgenutzt. Die Telnetd-Schwachstelle ermöglicht es nicht authentifizierten Angreifern, Standard-Anmeldeverfahren zu umgehen und sich Root-Zugriff auf betroffene Geräte zu verschaffen Linux Systeme. Forscher haben koordinierte Kampagnen beobachtet, die auf den Telnet-Dienst abzielen, Dies unterstreicht das große Risiko, das für die vernetzte Linux-Infrastruktur besteht. Um eine Kompromittierung zu verhindern, sind sofortiges Patchen und Überwachen unerlässlich.

Verständnis der Telnetd-Sicherheitslücke (CVE-2026-24061)

Die Telnetd-Schwachstelle liegt in der Art und Weise, wie der Telnet-Daemon das übergibt USER Umgebungsvariable zum /usr/bin/login binär. Indem man diesen Fehler ausnutzt, Angreifer können die Authentifizierung vollständig umgehen, ermöglicht die Remote-Codeausführung mit Root-Rechten. Die betroffenen Versionen reichen von GNU InetUtils 1.9.3 through 2.7.

Diese Sicherheitsanfälligkeit nutzt ein Befehlsinjektionsszenario aus: wenn der Telnet-Daemon das Anmeldeprogramm ausführt, Ein Angreifer kann das manipulieren USER Variable mit dem -f Root-Flag. Dadurch wird das System dazu verleitet, die Sitzung als bereits authentifiziert zu behandeln, Gewähren des vollständigen Administratorzugriffs ohne Anmeldeinformationen.

„Aktive Ausnutzung einer kritischen Sicherheitslücke zur Authentifizierungsumgehung im Telnetd-Server von GNU InetUtils (CVE-2026-24061) wurde in freier Wildbahn beobachtet, So können nicht authentifizierte Angreifer Root-Zugriff auf Linux-Systeme erhalten.“_Guru Baran, CyberSecurityNews

telnetd Vulnerability (CVE-2026-24061)

Ausbeutungsfluss und Angriffsmuster

Angreifer stellen Verbindungen zu anfälligen Telnet-Servern her (TCP/23) und liefern Sie ein handgefertigtes ENVIRON Variable, um die Authentifizierungsumgehung auszunutzen. Sobald die Telnetd-Sicherheitslücke ausgeführt wird, Die Nutzlast stellt sofort eine Root-Shell bereit, Dadurch können Angreifer Aufklärungsarbeit leisten, Schadsoftware einsetzen, oder einen dauerhaften Zugriff einrichten.

Wordpress Hosting

WordPress-Webhosting

Ab 3,99 $/Monat

Jetzt kaufen

Die Raffinesse dieser Angriffe zeigt sich in der Vielfalt der Nutzlastkonfigurationen, Dazu gehört auch die Endgeschwindigkeit, Terminaltyp, und Zielbenutzernamen. Diese Varianten helfen Angreifern, einfache signaturbasierte Erkennungssysteme zu umgehen und groß angelegte Kompromittierungskampagnen zu automatisieren.

Beobachtete Ausbeutungskampagnen

Eine aktuelle Honeypot-Analyse ergab mehrere koordinierte Ausnutzungsversuche. Die Bandbreite der Angreifer reichte von opportunistischen Scannern bis hin zu gezielteren Kampagnen, die auf eine langfristige Persistenz auf kompromittierten Systemen abzielten. Die beobachteten Verhaltensweisen deuten auf die mögliche Bildung eines Botnetzes und eine groß angelegte Aufklärung über Linux-Server hin. Zu den bemerkenswerten Verhaltensweisen von Angreifern gehören::

  • Sofortige Aufklärungsbefehle nach dem Kompromiss (uname -a, id, cat /etc/passwd).
  • SSH-Schlüsselinjektion für dauerhaften Zugriff.
  • Herunterladen und Ausführen von Python-Nutzlasten der zweiten Stufe.

Indikatoren für Kompromisse (IOCs)

Nachfolgend finden Sie eine detaillierte Tabelle der beobachteten Angreifer-Infrastruktur und Payloads im Zusammenhang mit der Telnetd-Schwachstelle:

Indikatortyp Wert Kontext
Angreifer-IP 178.16.53[.]82 Top-Quelle, mehrere Aufklärungssitzungen
Angreifer-IP 216.106.186[.]24 SSH-Schlüsselinjektion und Malware-Download
Angreifer-IP 67.220.95[.]16 Verbreitungs- und Ausnutzungsversuche von Malware
Angreifer-IP 156.238.237[.]103 Bestätigter Root-Zugriff (IDS-Alarm)
Malware-URL http://67.220.95[.]16:8000/apps.py Python-Nutzlast der zweiten Stufe
Dateiname apps[.]py Nutzlast nach anfänglicher Kompromittierung ausgeführt
SSH-Schlüsselkommentar [email protected][.]hosting Verbunden mit anhaltenden Zugriffsversuchen

Gezielte Systeme und Nutzlastkonfigurationen

Während Root das primäre Ziel bleibt, opportunistische Untersuchungen für andere Systemkonten wie z nobody, daemon, und zufällige Benutzernamen wurden beobachtet. Angreifer der Telnetd-Schwachstelle nutzen unterschiedliche Terminalgeschwindigkeiten und Terminaltypen, um einer Erkennung zu entgehen und die Kompatibilität zwischen verschiedenen Systemumgebungen sicherzustellen.

Diese Payload-Konfigurationen ermöglichen es der bösartigen Sitzung, sich mit legitimem Datenverkehr zu vermischen und grundlegende signaturbasierte Sicherheitskontrollen zu umgehen:

  • Terminalgeschwindigkeiten: Wird üblicherweise auf eingestellt 9600 Baud bzw 38400 Baud, obwohl einige Angriffe verhandeln 0,0 um der Entdeckung durch Überwachungssysteme zu entgehen.
  • Terminaltypen: Sitzungen verwenden XTERM-256COLOR, xterm-256color-Kompatibilitätsmodus, oder generische UNKNOWN-Typen, um die Kompatibilität zwischen mehreren Terminalemulatoren aufrechtzuerhalten.
  • Zielbenutzer: Root steht im Mittelpunkt (etwa 83% von Angriffen), während andere Konten, wie niemand, Daemon, und zufällige Testbenutzer, werden gelegentlich zum Ziel opportunistischer Kompromisse.

telnetd Vulnerability Targeted Systems

Cheap VPS

Günstiger VPS-Server

Ab 2,99 $/Monat

Jetzt kaufen

Persistenz und Nutzlasten der zweiten Stufe

Nach erfolgreichem Erhalt des Root-Zugriffs, Angreifer der Telnetd-Sicherheitslücke ergreifen häufig Maßnahmen, um die Kontrolle über kompromittierte Systeme langfristig zu behalten. Zu den beobachteten Taktiken gehören das Anhängen von SSH-Schlüsseln an autorisierte Benutzerdateien und das Herunterladen zusätzlicher Payloads zur Automatisierung der Aufklärung, Systemmodifikation, oder Botnet-Registrierung. Diese Methoden weisen auf einen gut strukturierten Ansatz hin, der auf dauerhaften Zugriff und mögliche laterale Bewegungen innerhalb des Netzwerks abzielt.

  • Persistenzstrategie: SSH-Schlüsselinjektion, um einen nahtlosen Wiedereintritt zu gewährleisten, ohne dass eine weitere Authentifizierung erforderlich ist.
  • Nutzlastbereitstellung: Python-basierte Skripte wie z apps.py dienen als Nutzlasten der zweiten Stufe zur Automatisierung der Systemüberwachung, Datenexfiltration, und Vorbereitung auf weitere böswillige Aktivitäten.

CVE und Schweregrad

Die Telnetd-Schwachstelle wird als klassifiziert kritisch, Dies spiegelt das Potenzial einer vollständigen Systemkompromittierung ohne Authentifizierung wider. Alle GNU InetUtils-Versionen von 1.9.3 Zu 2.7 betroffen sind, Es sind dringende Aktualisierungen erforderlich, um Ausbeutungsrisiken zu mindern.

CVE-ID Schwere CVSS-Score Betroffene Versionen
CVE-2026-24061 Kritisch 9.8 GNU InetUtils 1.9.3 2.7

Schadensbegrenzung und Empfehlungen

Organisationen, die Telnet-Dienste auf Linux-Systemen betreiben, müssen sofort Maßnahmen ergreifen, um die Ausnutzung von CVE-2026-24061 zu verhindern. Implementierung mehrschichtiger Abwehrmaßnahmen, Anwenden von Patches, und die Überwachung des Systemzugriffs kann das Risiko erheblich reduzieren. Administratoren sollten diese Schritte befolgen:

  1. Wenden Sie die neuesten GNU InetUtils-Updates an, um die Telnetd-Schwachstelle zu schließen.
  2. Deaktivieren Sie Telnet nach Möglichkeit auf öffentlich zugänglichen Servern, Ersetzen Sie es durch sichere Protokolle wie SSH.
  3. Überwachen Sie Netzwerkprotokolle auf ungewöhnliche Telnet-Sitzungen, insbesondere diejenigen, die versuchen, die Authentifizierung zu umgehen -f root.
  4. Überwachen Sie autorisierte SSH-Schlüssel, um alle nicht autorisierten Einträge zu entfernen, die von Angreifern hinzugefügt wurden.
  5. Setzen Sie Intrusion-Detection-Systeme ein, die in der Lage sind, abnormale Einschleusungen von Umgebungsvariablen und Befehlssequenzen zu kennzeichnen.

Indem Sie diese Empfehlungen befolgen, Organisationen können eine Root-Kompromittierung verhindern, Blockieren Sie hartnäckige Hintertüren, und die allgemeine Linux-Serversicherheit stärken. Also, Sie können Colonelserver besuchen SiteLock website security & Malware-Schutzdienst.

telnetd Vulnerability Mitigation and Recommendations

Strategische Implikationen

CVE-2026-24061 weist auf eine anhaltende Bedrohung für Linux-Infrastrukturen hin, die weiterhin auf veraltete Telnet-Dienste angewiesen sind. Angreifer sind in der Lage, opportunistische Ausnutzung mit ausgefeilten Payloads zu kombinieren, um einen längeren Zugriff zu erreichen, stellen betriebliche und strategische Risiken für Unternehmensserver dar, Cloud-Umgebungen, und Hosting-Plattformen.

Windows VPS

Windows VPS-Hosting

Remote Access & Full Admin

Jetzt kaufen

Die Telnetd-Schwachstelle zeigt, dass auch ältere Protokolle funktionieren, wenn es nicht gepatcht wird, können als Einstiegspunkte für kritische Verstöße dienen. Dies unterstreicht die Notwendigkeit einer proaktiven Systemhärtung und kontinuierlichen Überwachung aller Linux-basierten Bereitstellungen.

Verwandte Beiträge:

  1. Wie kann man den White Screen of Death in WordPress reparieren?
  2. OpenClaw Bug Enables One-Click Remote Code Execution by Malicious Link
  3. Docker & Vollständiger Leitfaden zur Kubernetes-Containersicherheit
  4. Die staatlich geförderte asiatische Gruppe TGR-STA-1030 bricht aus 70 Regierungs- und Infrastruktureinrichtungen weltweit
Teilen Sie diesen Beitrag

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert