Die kritische Schwachstelle CVE-2026-24061 im Serverdienst GNU InetUtils telnetd wird bereits aktiv in realen Angriffen ausgenutzt. Mit einem CVSS-Score von 9,8 erlaubt die Luecke unter bestimmten Bedingungen einen direkten Root-Zugriff ohne Passwort. Angesichts von nahezu 800 000 im Internet erreichbaren Telnet-Instanzen entsteht ein erhebliches Risiko fuer veraltete Linux- und IoT-Systeme.
Kritische Sicherheitsluecke in GNU InetUtils telnetd: Umfang und Bewertung
GNU InetUtils ist ein weit verbreitetes Paket grundlegender Netzwerkw erkzeuge fuer Unix- und Linux-Systeme, darunter telnet/telnetd, ftp/ftpd, rsh/rshd, ping, traceroute. Es ist fester Bestandteil vieler Linux-Distributionen und haeufig in Embedded- und Industrieumgebungen zu finden, deren Software ueber Jahre unveraendert bleibt.
Die Schwachstelle CVE-2026-24061 betrifft Versionen von GNU InetUtils 1.9.3 (2015) bis einschliesslich 2.7. Erst mit Version 2.8 vom 20. Januar 2026 wurde die Luecke geschlossen – damit blieb der Fehler nahezu elf Jahre unentdeckt. Die Einstufung mit CWSS 9,8 in gaengigen Vulnerability-Datenbanken (z.B. NVD) signalisiert ein nahezu maximales Risiko fuer Remote Code Execution ohne Benutzerinteraktion.
Wie der Exploit funktioniert: Root-Zugriff ohne Passwort ueber Telnet
Technisch beruht CVE-2026-24061 auf der Art und Weise, wie telnetd bei einer Verbindung das Anmeldeprogramm /usr/bin/login aufruft. Dieses laeuft in der Regel mit root-Rechten. Telnetd uebergibt dabei den vom Client gelieferten Wert der Umgebungsvariable USER als letzten Parameter auf der Kommandozeile an login.
Sendet ein Angreifer als USER beispielsweise die Zeichenkette -f root und wird der Telnet-Client mit den Optionen -a oder --login verwendet, interpretiert das login-Programm den Schalter -f als „vertrauenswuerdige Authentifizierung“. In diesem Modus wird die Passwortabfrage uebersprungen und der Benutzer direkt als root angemeldet.
Die Kernursache ist, dass telnetd die vom Client kontrollierte Variable USER weder bereinigt noch validiert, bevor sie an login uebergeben wird. Diese Klasse von Fehlern – unkontrollierte Weitergabe von Argumenten an externe Programme – hat in der Vergangenheit wiederholt zu kritischen Remote-Exploits gefuehrt, blieb hier jedoch ueber Jahre unentdeckt.
Angriffsoberflaeche: Offene Telnet-Dienste und verwundbare IoT-Geraete
Nach Auswertungen der Shadowserver Foundation sind aktuell knapp 800 000 oeffentlich erreichbare Telnet-Dienste mit typischen Telnet-Fingerprints sichtbar. Mehr als 380 000 davon befinden sich in asiatischen Staaten, rund 170 000 in Suedamerika und etwa 100 000 in Europa. Wie viele dieser Systeme tatsaechlich eine verwundbare Version von GNU InetUtils einsetzen, ist unklar – die potenzielle Angriffsoberflaeche ist jedoch erheblich.
Unabhaengig von CVE-2026-24061 gilt: Telnet aus dem Internet zugaenglich zu machen, verstoesst gegen grundlegende Sicherheitsprinzipien. Der Dienst uebertraegt saemtliche Daten – einschliesslich Benutzername und Passwort – im Klartext und bietet keinerlei Verschluesselung. Trotzdem setzen insbesondere IoT-Geraete, SOHO-Router, Videoueberwachungssysteme und industrielle Steuerungen weiterhin auf Telnet, oft mit kaum oder nie aktualisierten Firmware-Versionen.
Reale Angriffe auf CVE-2026-24061: Beobachtungen aus dem Internet
Bereits kurz nach der Offenlegung der Details zu CVE-2026-24061 meldete das Sicherheitsunternehmen GreyNoise erste konkrete Ausnutzungsversuche. Bereits am 21. Januar, einen Tag nach Verfuegbarkeit des Patches, wurden Angriffe dokumentiert.
Demnach gingen Exploit-Versuche von 18 IP-Adressen aus und wurden in mindestens 60 Telnet-Sitzungen beobachtet. Angreifer nutzten die Telnet-IAC-Option-Negotiation, um Werte wie USER=-f <user> zu injizieren und so Shell-Zugriff ohne jede Authentifizierung zu erhalten. Innerhalb eines Tages wurden Versuche von 21 eindeutigen IPs aus Regionen wie Hongkong, USA, Japan, Niederlande, China, Deutschland, Singapur und Thailand registriert.
Ein grosser Teil der Aktivitaet war klar automatisiert, in einigen Faellen liessen Interaktionsmuster jedoch auf manuelle Untersuchungen kompromittierter Systeme schliessen. Nach erfolgreichem Zugriff versuchten Angreifer haeufig, Python-basierte Malware nachzuladen, zuvor kombiniert mit automatisierter Systemaufklaerung. Auch wenn fruehe Versuche oft an ungewohnten Umgebungen scheiterten, zeigt die Erfahrung mit Telnet-basierten Botnetzen wie Mirai, dass solche Kampagnen rasch angepasst und skaliert werden koennen.
Schutzmassnahmen gegen CVE-2026-24061 und Telnet-Risiken
Sofortmassnahmen fuer betroffene Systeme
Betreiber von Linux-Servern und IoT-Geraeten, die GNU InetUtils einsetzen, sollten prioritaer folgende Schritte umsetzen:
- Update auf GNU InetUtils 2.8 oder neuer, da hier die Schwachstelle behoben wurde.
- Wo ein Update nicht kurzfristig moeglich ist, den Dienst telnetd deaktivieren, sofern er nicht absolut erforderlich ist.
- TCP-Port 23 (Telnet) auf Firewalls sperren – sowohl an der Perimeter-Firewall als auch intern, wenn kein legitimer Bedarf besteht.
- Als temporaeren Workaround eine alternative
login-Implementierung konfigurieren, die den Parameter-fnicht unterstuetzt.
Ergaenzend empfiehlt sich die Einrichtung von Monitoring fuer Telnet-Verkehr und Log-Analysen, um Verbindungsversuche mit ungewoehnlichen Optionen oder auffaelligen USER-Werten fruehzeitig zu erkennen.
Langfristige Strategien fuer mehr Cyber-Resilienz
Der Vorfall verdeutlicht die Risiken von technischem Schuldenaufbau in gewachsenen Infrastrukturen. Fuer eine nachhaltige Reduktion des Angriffsrisikos bieten sich folgende Massnahmen an:
- Moeglichst vollstaendiger Ausstieg aus Telnet zugunsten von SSH und anderen verschluesselten Verwaltungsprotokollen.
- Einfuehrung strukturierter Prozesse zur regelmaessigen Aktualisierung von Firmware und Systemsoftware, einschliesslich Inventarisierung und Ueberwachung veralteter Versionen.
- Regelmaessige Port- und Service-Audits mit internen Scannern oder externen Monitoring-Diensten, um unnoetig exponierte Dienste wie Telnet aufzudecken.
- K konsequente Netzsegmentierung und Umsetzung des Prinzips der geringsten Privilegien, um nicht patchbare oder kritische Altsysteme zu isolieren.
CVE-2026-24061 fuehrt eindruecklich vor Augen, wie gefaehrlich die Kombination aus vergessenen Codebasen, unsicheren Altprotokollen wie Telnet und fehlendem Patch-Management ist. Organisationen und private Betreiber sollten ihre Infrastruktur kurzfristig auf offene Telnet-Zugaenge pruefen, verwundbare Dienste patchen oder abschalten und parallel einen strukturierten Prozess fuer Updates und Risiko-Management etablieren. Wer jetzt handelt, reduziert nicht nur die Gefahr durch diese konkrete Schwachstelle, sondern staerkt die gesamte Sicherheitsarchitektur gegen kuenftige Verwundbarkeiten in grundlegenden Netzwerkkomponenten.
