Een kritieke beveiligingsfout in de GNU InetUtils telnetd-server (CVE-2026-24061) wordt wereldwijd actief uitgebuit door aanvallers. Door de telnetd-kwetsbaarheid kunnen niet-geauthenticeerde aanvallers de standaard inlogprocedures omzeilen en root-toegang krijgen tot de getroffen systemen Linux systemen. Onderzoekers hebben gecoördineerde campagnes waargenomen die gericht waren op de Telnet-service, waarbij het ernstige risico voor de genetwerkte Linux-infrastructuur wordt benadrukt. Onmiddellijke patching en monitoring zijn essentieel om compromissen te voorkomen.
Inzicht in de telnetd-kwetsbaarheid (CVE-2026-24061)
De telnetd-kwetsbaarheid zit in de manier waarop de Telnet-daemon de USER omgevingsvariabele naar de /usr/bin/login binair. Door deze fout te exploiteren, aanvallers kunnen de authenticatie volledig omzeilen, waardoor uitvoering van code op afstand met rootrechten mogelijk is. De getroffen versies variëren van GNU InetUtils 1.9.3 door 2.7.
Dit beveiligingslek maakt misbruik van een scenario voor opdrachtinjectie: wanneer de Telnet-daemon het inlogprogramma uitvoert, een aanvaller kan de USER variabel met de -f wortel vlag. Hierdoor wordt het systeem misleid om de sessie als al geverifieerd te behandelen, het verlenen van volledige beheerderstoegang zonder inloggegevens.
“Actieve exploitatie van een kritieke authenticatieomzeilingskwetsbaarheid in de GNU InetUtils telnetd-server (CVE-2026-24061) in het wild is waargenomen, waardoor niet-geverifieerde aanvallers root-toegang kunnen krijgen tot Linux-systemen.”_Guru Baran, CyberSecurityNieuws
Exploitatiestroom en aanvalspatronen
Aanvallers initiëren verbindingen met kwetsbare Telnet-servers (TCP/23) en een vervaardigde leveren ENVIRON variabele om de authenticatie-bypass te misbruiken. Zodra de telnetd-kwetsbaarheid is uitgevoerd, de payload levert onmiddellijk een rootshell op, waardoor aanvallers verkenningen kunnen uitvoeren, malware inzetten, of permanente toegang tot stand brengen.
WordPress-webhosting
Vanaf $ 3,99/maandelijks
De verfijning van deze aanvallen blijkt duidelijk uit de diversiteit aan payload-configuraties, inclusief terminalsnelheid, terminaltype, en doelgebruikersnamen. Deze variaties helpen aanvallers eenvoudige, op handtekeningen gebaseerde detectiesystemen te omzeilen en grootschalige compromiscampagnes te automatiseren.
Waargenomen exploitatiecampagnes
Recente honeypot-analyse bracht meerdere gecoördineerde exploitatiepogingen aan het licht. Aanvallers varieerden van opportunistische scanners tot meer gerichte campagnes die gericht waren op het langdurig vasthouden van gecompromitteerde systemen. Het waargenomen gedrag duidt op de mogelijke vorming van een botnet en grootschalige verkenning van Linux-servers. Opmerkelijk gedrag van aanvallers is onder meer:
- Onmiddellijke verkenningsopdrachten na het compromis (
uname -a,id,cat /etc/passwd). - SSH-sleutelinjectie voor permanente toegang.
- Downloaden en uitvoeren van Python-payloads in de tweede fase.
Indicatoren van compromis (IOC's)
Hieronder vindt u een gedetailleerde tabel met de waargenomen infrastructuur en payloads van aanvallers die verband houden met de telnetd-kwetsbaarheid:
| Indicatortype | Waarde | Context |
| IP-adres van de aanvaller | 178.16.53[.]82 | Topbron, meerdere verkenningssessies |
| IP-adres van de aanvaller | 216.106.186[.]24 | SSH-sleutelinjectie en downloaden van malware |
| IP-adres van de aanvaller | 67.220.95[.]16 | Malwaredistributie en pogingen tot exploitatie |
| IP-adres van de aanvaller | 156.238.237[.]103 | Bevestigde root-toegang (IDS-waarschuwing) |
| Malware-URL | http://67.220.95[.]16:8000/apps.py | Python-payload in de tweede fase |
| Bestandsnaam | apps[.]py | Payload uitgevoerd na aanvankelijk compromis |
| SSH-sleutelcommentaar | [email protected][.]hosting | Geassocieerd met aanhoudende toegangspogingen |
Gerichte systemen en payloadconfiguraties
Terwijl root het primaire doelwit blijft, opportunistische onderzoeken voor andere systeemaccounts, zoals nobody, daemon, en gerandomiseerde gebruikersnamen zijn waargenomen. Aanvallers van Telnetd-kwetsbaarheden maken gebruik van variaties in terminalsnelheden en terminaltypen om detectie te omzeilen en compatibiliteit tussen verschillende systeemomgevingen te garanderen.
Dankzij deze payload-configuraties kan de kwaadaardige sessie zich vermengen met legitiem verkeer en worden elementaire, op handtekeningen gebaseerde beveiligingscontroles omzeild:
- Terminalsnelheden: Meestal ingesteld op 9600 baud of 38400 baal, hoewel sommige aanvallen onderhandelen 0,0 om detectie in monitoringsystemen te omzeilen.
- Terminaltypen: Sessies gebruiken XTERM-256COLOR, xterm-256color-compatibiliteitsmodus, of generieke UNKNOWN-typen om de compatibiliteit tussen meerdere terminalemulators te behouden.
- Doelgebruikers: Root is de primaire focus (ongeveer 83% van aanvallen), terwijl andere rekeningen, zoals niemand, demon, en willekeurige testgebruikers, soms zijn zij het doelwit van opportunistische compromissen.
Goedkope VPS-server
Vanaf $ 2,99/maandelijks
Persistentie en ladingen in de tweede fase
Na het succesvol verkrijgen van root-toegang, Telnetd-kwetsbaarheidsaanvallers implementeren regelmatig maatregelen om de controle over gecompromitteerde systemen op de lange termijn te behouden. Waargenomen tactieken zijn onder meer het toevoegen van SSH-sleutels aan geautoriseerde gebruikersbestanden en het downloaden van extra payloads die zijn ontworpen om verkenningen te automatiseren, systeemwijziging, of botnetinschrijving. Deze methoden duiden op een goed gestructureerde aanpak gericht op blijvende toegang en potentiële laterale beweging binnen het netwerk.
- Persistentiestrategie: SSH-sleutelinjectie om naadloze herinvoer te garanderen zonder verdere authenticatie.
- Payload-implementatie: Op Python gebaseerde scripts zoals
apps.pydienen als tweede fase-payloads om systeemmonitoring te automatiseren, data-exfiltratie, en voorbereiding op aanvullende kwaadaardige activiteiten.
CVE en ernst
De telnetd-kwetsbaarheid is geclassificeerd als kritisch, weerspiegelt het potentieel voor totale systeemcompromis zonder authenticatie. Alle GNU InetUtils-versies van 1.9.3 to 2.7 zijn getroffen, Er zijn dringend updates nodig om de exploitatierisico's te beperken.
| CVE-ID | Ernst | CVSS-score | Betrokken versies |
| CVE-2026-24061 | Critical | 9.8 | GNU InetUtils 1.9.3 – 2.7 |
Mitigatie en aanbevelingen
Organisaties die Telnet-services op Linux-systemen uitvoeren, moeten onmiddellijk actie ondernemen om misbruik van CVE-2026-24061 te voorkomen. Gelaagde verdediging implementeren, pleisters aanbrengen, en het auditen van toegang tot systemen kan de risico's aanzienlijk verminderen. Beheerders moeten deze stappen volgen:
- Pas de nieuwste GNU InetUtils-updates toe om de telnetd-kwetsbaarheid te verhelpen.
- Schakel Telnet waar mogelijk uit op openbare servers, vervangen door veilige protocollen zoals SSH.
- Controleer netwerklogboeken op ongebruikelijke Telnet-sessies, vooral degenen die proberen de authenticatie te omzeilen met behulp van
-f root. - Controleer door SSH geautoriseerde sleutels om ongeautoriseerde vermeldingen te verwijderen die door aanvallers zijn toegevoegd.
- Implementeer inbraakdetectiesystemen die abnormale injecties van omgevingsvariabelen en commandoreeksen kunnen signaleren.
Door deze aanbevelingen op te volgen, organisaties kunnen root-compromis voorkomen, blokkeer hardnekkige achterdeurtjes, en de algehele beveiliging van de Linux-servers versterken. Also, je kunt Colonelserver bezoeken SiteLock website security & dienst voor malwarebescherming.
Strategische implicaties
CVE-2026-24061 benadrukt een aanhoudende bedreiging voor Linux-infrastructuren die afhankelijk blijven van oudere Telnet-services. Aanvallers zijn in staat opportunistische exploitatie te combineren met geavanceerde payloads om langdurige toegang te verkrijgen, die operationele en strategische risico's voor bedrijfsservers vertegenwoordigen, cloud-omgevingen, en hostingplatforms.
Windows VPS-hosting
Remote Access & Full Admin
De telnetd-kwetsbaarheid toont aan dat zelfs oudere protocollen, wanneer het ongepatcht blijft, kunnen dienen als toegangspunt voor kritieke inbreuken. Dit benadrukt de noodzaak van proactieve systeemverharding en continue monitoring voor alle op Linux gebaseerde implementaties.