Критическая уязвимость CVE-2026-24061 в серверном компоненте GNU InetUtils telnetd, оцениваемая в 9,8 по шкале CVSS, уже активно используется в реальных атаках. На фоне массового присутствия Telnet в устаревших Linux-системах и IoT-устройствах аналитики Shadowserver фиксируют почти 800 000 IP-адресов с открытым Telnet, что создает благоприятные условия для масштабных компрометаций.
Что представляет собой уязвимость CVE-2026-24061 в GNU InetUtils telnetd
GNU InetUtils — это набор базовых сетевых утилит для Unix-подобных систем (включая telnet/telnetd, ftp/ftpd, rsh/rshd, ping, traceroute). Пакет традиционно входит во многие дистрибутивы Linux и часто используется на встраиваемых и промышленных устройствах, где программное обеспечение может не обновляться годами.
Уязвимость CVE-2026-24061 затрагивает версии GNU InetUtils с 1.9.3 (релиз 2015 года) по 2.7 включительно. Ошибка была исправлена только в версии 2.8 от 20 января 2026 года, то есть критический баг оставался незамеченным почти 11 лет. По данным общепринятых баз (таких как NVD), столь высокая оценка CVSS (9,8) означает максимальный риск удаленного захвата системы без участия пользователя.
Механизм эксплуатации: как злоумышленник получает root-доступ без пароля
Ключевая проблема связана с тем, что telnetd при установлении сессии вызывает бинарный файл /usr/bin/login (обычно работающий с правами root) и передает ему значение переменной окружения USER, полученное от клиента, как последний аргумент командной строки.
Если клиент отправляет специально сформированное значение USER, например строку -f root, а сам Telnet-клиент запущен с параметром -a или --login, login-инструмент интерпретирует флаг -f как «доверенную аутентификацию». В результате стандартная проверка пароля обходится, и атакующий получает прямой root-доступ к системе.
Корневая ошибка состоит в том, что telnetd не очищает и не валидирует переменную окружения USER перед передачей в login. Аналогичные логические уязвимости (передача неконтролируемых аргументов во внешние программы) уже многократно становились причиной критических RCE-ошибок в других сервисах, однако здесь проблема долгое время оставалась вне поля зрения.
Масштабы риска: открытый Telnet и уязвимые IoT- и серверные системы
По данным Shadowserver Foundation, в настоящий момент в интернете обнаружено почти 800 000 инстансов Telnet с характерными телнет-фингерпринтами. Более 380 000 из них расположены в странах Азии, почти 170 000 — в Южной Америке и около 100 000 — в Европе. Точная доля устройств, использующих уязвимые версии GNU InetUtils, пока неизвестна.
Аналитики подчеркивают: сам факт доступности Telnet из интернета уже является серьезным нарушением базовой гигиены безопасности. Протокол Telnet передает данные, включая логины и пароли, в открытом виде, без шифрования, и давно считается устаревшим. Однако он до сих пор широко применяется в IoT-устройствах, SOHO-роутерах, системах видеонаблюдения и промышленном оборудовании, где обновления прошивки внедряются крайне медленно или вовсе отсутствуют.
Фиксация реальных атак: данные GreyNoise и первые эксплойты
Спустя считанные дни после раскрытия информации о CVE-2026-24061 компания GreyNoise зафиксировала ограниченную, но реальную эксплуатацию уязвимости. Вредоносная активность была замечена уже 21 января, на следующий день после выхода патча.
По их наблюдениям, атаки исходили с 18 IP-адресов и были задействованы как минимум в 60 Telnet-сессиях. Злоумышленники использовали согласование опций Telnet IAC для инъекции значения USER=-f <user>, что позволило им получать shell-доступ к устройствам без какой-либо аутентификации. Всего за сутки попытки эксплуатации исходили с 21 уникального IP, расположенного в Гонконге, США, Японии, Нидерландах, Китае, Германии, Сингапуре и Таиланде.
Большинство атак выглядело автоматизированными, однако исследователи отметили, что в ряде случаев «явно присутствовал человек за клавиатурой» — то есть проводился ручной анализ скомпрометированных систем. После получения доступа злоумышленники предпринимали попытки развернуть Python-малварь, предварительно выполнив автоматическую разведку (сбор информации о системе, поиски подходящих директорий и бинарников). На раннем этапе эти попытки часто проваливались из-за отсутствия ожидаемой среды, но опыт массовых инцидентов с Telnet (например, ботнеты на базе Mirai) показывает, что подобные кампании быстро эволюционируют.
Рекомендации по защите: что делать администраторам и владельцам устройств
Немедленные меры реагирования на CVE-2026-24061
Администраторам систем, использующих GNU InetUtils, рекомендуется в приоритетном порядке:
- Обновиться до версии GNU InetUtils 2.8 или новее, где уязвимость исправлена.
- Если обновление невозможно оперативно внедрить, отключить сервис telnetd на всех системах, где он не критичен.
- Заблокировать TCP-порт 23 (Telnet) на внешних и внутренних межсетевых экранах, если нет жесткой необходимости в его использовании.
- В качестве временного решения — настроить telnetd на использование альтернативной реализации login, не поддерживающей параметр
-f.
Дополнительно целесообразно настроить мониторинг сетевого трафика и системных логов на попытки подключения по Telnet с подозрительными опциями, что позволит оперативно выявлять попытки эксплуатации.
Долгосрочные меры повышения киберустойчивости
Инцидент с CVE-2026-24061 наглядно демонстрирует опасность накопления «технического долга» в инфраструктуре. Для снижения рисков в перспективе целесообразно:
- Максимально отказаться от Telnet в пользу SSH и других защищенных протоколов управления.
- Внедрить процессы регулярного обновления прошивок и ПО на серверах и IoT-устройствах, включая контроль за устаревшими версиями.
- Проводить периодический аудит открытых портов и сервисов (внутренними сканерами или внешними сервисами мониторинга экспонированных ресурсов).
- Использовать сетевую сегментацию и принцип наименьших привилегий для изоляции устройств, которые по тем или иным причинам невозможно быстро обновить.
Сочетание забытого кода, устаревшего протокола Telnet и долгого отсутствия обновлений делает CVE-2026-24061 показательной иллюстрацией современных рисков кибербезопасности. Организациям и частным пользователям стоит как можно скорее проверить инфраструктуру на наличие открытого Telnet, установить патчи или отключить уязвимый сервис, а также выстроить системный подход к управлению обновлениями. Это снизит вероятность не только эксплуатации данной уязвимости, но и ущерба от будущих аналогичных ошибок в базовых сетевых компонентах.
