|

Site Web gratuit & Serveur Migration

🔥 TarifsSe connecterS'inscrireSoutienRevendeurFiliale
Colonel Serveur
Sécurité & Pare-feu

Des pirates informatiques exploitent activement la vulnérabilité telnetd pour un accès root

telnetd Vulnerability
Claire2026-02-22

Une faille de sécurité critique dans le serveur telnetd GNU InetUtils (CVE-2026-24061) est activement exploité par des attaquants du monde entier. La vulnérabilité telnetd permet à des attaquants non authentifiés de contourner les procédures de connexion standard et d'obtenir un accès root sur les serveurs concernés. Linux systèmes. Les chercheurs ont observé des campagnes coordonnées ciblant le service Telnet, soulignant le risque grave posé à l'infrastructure Linux en réseau. Des correctifs et une surveillance immédiats sont essentiels pour éviter toute compromission.

Comprendre la vulnérabilité telnetd (CVE-2026-24061)

La vulnérabilité telnetd réside dans la manière dont le démon Telnet transmet le message USER variable d'environnement au /usr/bin/login binaire. En exploitant cette faille, les attaquants peuvent contourner complètement l’authentification, permettre l'exécution de code à distance avec les privilèges root. Les versions concernées vont de GNU InetUtils 1.9.3 through 2.7.

Cette vulnérabilité exploite un scénario d'injection de commandes: lorsque le démon Telnet exécute le programme de connexion, un attaquant peut manipuler le USER variable avec le -f drapeau racine. Cela incite le système à traiter la session comme déjà authentifiée., accorder un accès administratif complet sans informations d'identification.

"Exploitation active d'une vulnérabilité critique de contournement d'authentification dans le serveur telnetd GNU InetUtils (CVE‑2026‑24061) a été observé dans la nature, permettant à des attaquants non authentifiés d'obtenir un accès root aux systèmes Linux. »_Guru Baran, CyberSécuritéActualités

telnetd Vulnerability (CVE-2026-24061)

Flux d’exploitation et modèles d’attaque

Les attaquants établissent des connexions aux serveurs Telnet vulnérables (TCP/23) et livrer un produit conçu ENVIRON variable pour exploiter le contournement d'authentification. Une fois la vulnérabilité telnetd exécutée, la charge utile fournit immédiatement un shell racine, permettre aux attaquants d'effectuer des reconnaissances, déployer des logiciels malveillants, ou établir un accès persistant.

Wordpress Hosting

Hébergement Web WordPress

À partir de 3,99 $/mois

Acheter maintenant

La sophistication de ces attaques est évidente dans la diversité des configurations de charges utiles, qui incluent la vitesse du terminal, type de borne, et les noms d'utilisateur cibles. Ces variantes aident les attaquants à échapper aux systèmes de détection simples basés sur les signatures et à automatiser les campagnes de compromission à grande échelle..

Campagnes d’exploitation observées

Une analyse récente du pot de miel a révélé plusieurs tentatives d'exploitation coordonnées. Les attaquants allaient des scanners opportunistes à des campagnes plus ciblées visant à persister à long terme sur les systèmes compromis.. Les comportements observés indiquent la formation potentielle d'un botnet et une reconnaissance à grande échelle sur les serveurs Linux.. Les comportements notables des attaquants incluent:

  • Commandes de reconnaissance immédiate après un compromis (uname -a, id, cat /etc/passwd).
  • Injection de clé SSH pour un accès persistant.
  • Téléchargement et exécution des charges utiles Python de deuxième étape.

Indicateurs de compromis (CIO)

Vous trouverez ci-dessous un tableau détaillé de l'infrastructure des attaquants observés et des charges utiles associées à la vulnérabilité telnetd.:

Type d'indicateur Valeur Contexte
IP de l'attaquant 178.16.53[.]82 Source principale, plusieurs séances de reconnaissance
IP de l'attaquant 216.106.186[.]24 Injection de clé SSH et téléchargement de logiciels malveillants
IP de l'attaquant 67.220.95[.]16 Tentatives de distribution et d’exploitation de logiciels malveillants
IP de l'attaquant 156.238.237[.]103 Accès root confirmé (Alerte IDS)
URL du logiciel malveillant http://67.220.95[.]16:8000/applications.py Charge utile Python de deuxième étape
Nom de fichier applications[.]py Charge utile exécutée après le compromis initial
Commentaire clé SSH [email protected][.]hébergement Associé à des tentatives d'accès persistantes

Systèmes ciblés et configurations de charge utile

Alors que root reste la cible principale, sondes opportunistes pour d'autres comptes système tels que nobody, daemon, et des noms d'utilisateur randomisés ont été observés. Les attaquants de vulnérabilité Telnetd utilisent des variations dans les vitesses et les types de terminaux pour échapper à la détection et garantir la compatibilité entre divers environnements système..

Ces configurations de charge utile permettent à la session malveillante de se fondre dans le trafic légitime et de contourner les contrôles de sécurité de base basés sur les signatures.:

  • Vitesses des terminaux: Généralement réglé sur 9600 bauds ou 38400 bauds, même si certaines attaques négocient 0,0 pour échapper à la détection dans les systèmes de surveillance.
  • Types de terminaux: Les sessions utilisent XTERM-256COLOR, mode de compatibilité xterm-256color, ou des types génériques INCONNUS pour maintenir la compatibilité entre plusieurs émulateurs de terminaux.
  • Utilisateurs cibles: La racine est l’objectif principal (environ 83% d'attaques), tandis que d'autres comptes, comme personne, démon, et utilisateurs de tests aléatoires, sont parfois la cible de compromis opportunistes.

telnetd Vulnerability Targeted Systems

Cheap VPS

Serveur VPS pas cher

À partir de 2,99 $/mois

Acheter maintenant

Persistance et charges utiles de deuxième étape

Après avoir obtenu avec succès l'accès root, Les attaquants de vulnérabilité telnetd mettent fréquemment en œuvre des mesures pour maintenir le contrôle à long terme des systèmes compromis.. Les tactiques observées incluent l'ajout de clés SSH aux fichiers utilisateur autorisés et le téléchargement de charges utiles supplémentaires conçues pour automatiser la reconnaissance., modification du système, ou inscription à un botnet. Ces méthodes indiquent une approche bien structurée visant un accès persistant et un mouvement latéral potentiel au sein du réseau..

  • Stratégie de persistance: Injection de clé SSH pour garantir une rentrée transparente sans nécessiter d'authentification supplémentaire.
  • Déploiement de la charge utile: Scripts basés sur Python tels que apps.py servir de charges utiles de deuxième étape pour automatiser la surveillance du système, data exfiltration, et préparation à des activités malveillantes supplémentaires.

CVE et gravité

La vulnérabilité telnetd est classée comme critique, reflétant son potentiel de compromission totale du système sans authentification. Toutes les versions de GNU InetUtils de 1.9.3 à 2.7 sont concernés, nécessitant des mises à jour urgentes pour atténuer les risques d’exploitation.

Identifiant CVE Gravité Score CVSS Versions concernées
CVE-2026-24061 Critical 9.8 GNU InetUtils 1.9.3 2.7

Atténuation et recommandations

Les organisations exécutant des services Telnet sur des systèmes Linux doivent prendre des mesures immédiates pour empêcher l'exploitation de CVE-2026-24061.. Implémentation de défenses en couches, application de correctifs, et l'accès au système d'audit peut réduire considérablement les risques. Les administrateurs doivent suivre ces étapes:

  1. Appliquez les dernières mises à jour de GNU InetUtils pour corriger la vulnérabilité telnetd.
  2. Désactivez Telnet sur les serveurs publics dans la mesure du possible, le remplacer par des protocoles sécurisés tels que SSH.
  3. Surveiller les journaux réseau pour les sessions Telnet inhabituelles, en particulier ceux qui tentent de contourner l'authentification en utilisant -f root.
  4. Auditez les clés autorisées SSH pour supprimer toute entrée non autorisée ajoutée par des attaquants.
  5. Déployer des systèmes de détection d'intrusion capables de signaler les injections de variables d'environnement anormales et les séquences de commandes.

En suivant ces recommandations, les organisations peuvent empêcher la compromission racine, bloquer les portes dérobées persistantes, et renforcer la sécurité globale du serveur Linux. Also, vous pouvez visiter Colonelserver SiteLock website security & service de protection contre les logiciels malveillants.

telnetd Vulnerability Mitigation and Recommendations

Implications stratégiques

CVE-2026-24061 met en évidence une menace persistante pour les infrastructures Linux qui continuent de s'appuyer sur les services Telnet existants. Les attaquants sont capables de combiner une exploitation opportuniste avec des charges utiles sophistiquées pour obtenir un accès prolongé., représenter les risques opérationnels et stratégiques pour les serveurs d'entreprise, environnements cloud, et plateformes d'hébergement.

Windows VPS

Hébergement VPS Windows

Remote Access & Full Admin

Acheter maintenant

La vulnérabilité telnetd démontre que même les protocoles plus anciens, lorsqu'il n'est pas corrigé, peut servir de points d’entrée pour des violations critiques. Cela souligne la nécessité d'un renforcement proactif du système et d'une surveillance continue dans tous les déploiements basés sur Linux..

Articles connexes:

  1. how fix white screen of death wordpress
  2. OpenClaw Bug Enables One-Click Remote Code Execution by Malicious Link
  3. Docker & Kubernetes Container Security Complete Guide
  4. Asian State-Sponsored Group TGR-STA-1030 Breaks 70 Government and Infrastructure Bodies Globally
Partager cette publication

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *