Критична уразливість CVE-2026-24061 у серверному компоненті GNU InetUtils telnetd, оцінена в 9,8 за шкалою CVSS, уже використовується в реальних атаках. З огляду на масове використання протоколу Telnet в застарілих Linux-системах та IoT-пристроях, ситуація створює передумови для широкомасштабних компрометацій по всьому світу.
Критична уразливість CVE-2026-24061 у GNU InetUtils telnetd
GNU InetUtils — це базовий набір мережевих утиліт для Unix-подібних систем, до якого входять telnet/telnetd, ftp/ftpd, rsh/rshd, ping, traceroute та інші інструменти. Цей пакет традиційно входить до складу багатьох Linux-дистрибутивів і широко використовується у вбудованих, промислових та мережевих пристроях, де ПЗ часто не оновлюється роками.
Уразливість CVE-2026-24061 впливає на версії GNU InetUtils починаючи з 1.9.3 (реліз 2015 року) до 2.7 включно. Виправлення було внесено лише у версії 2.8 від 20 січня 2026 року, тобто критична помилка залишалася непоміченою майже 11 років. Оцінка CVSS 9,8 означає, що зловмисник може дистанційно захопити систему без взаємодії з користувачем.
Як працює експлойт: обхід аутентифікації та отримання root-доступу
Сервер telnetd під час встановлення сеансу викликає бінарний файл /usr/bin/login, який зазвичай виконується з привілеями root, і передає йому значення змінної оточення USER як останній аргумент командного рядка.
Якщо клієнт Telnet передає спеціально сформоване значення USER, наприклад -f root, а сам клієнт запущений із параметром -a або --login, утиліта login інтерпретує прапорець -f як «довірену автентифікацію». У такому випадку перевірка пароля взагалі не виконується, і зловмисник отримує повноцінний root-доступ без будь-яких облікових даних.
Коренева проблема полягає в тому, що telnetd не очищує і не перевіряє вміст змінної USER перед передаванням у login. Подібні логічні помилки, коли сервіс передає неконтрольовані аргументи зовнішнім програмам, уже неодноразово призводили до критичних RCE-уразливостей, але в цьому випадку дефект довго залишався поза увагою спільноти.
Масштаб загрози для Linux та IoT через відкритий Telnet
За даними Shadowserver Foundation, в Інтернеті сьогодні виявлено майже 800 000 інстансів Telnet з характерними «телнет-фінгерпринтами». Понад 380 000 з них розташовані в країнах Азії, близько 170 000 — у Південній Америці й приблизно 100 000 — в Європі. Точна частка систем із уразливими версіями GNU InetUtils поки не визначена, але масштаб поверхні атаки вже є критичним.
Фахівці наголошують, що доступність Telnet безпосередньо з Інтернету — це саме по собі серйозне порушення базових практик безпеки. Протокол Telnet передає трафік, включно з логінами та паролями, у відкритому вигляді, без шифрування, тому вже давно вважається застарілим. Водночас він досі масово використовується в IoT-пристроях, SOHO-роутерах, системах відеоспостереження та промисловому обладнанні, де оновлення прошивок упроваджуються повільно або відсутні взагалі.
Перші хвилі атак: спостереження Shadowserver та GreyNoise
Всього за день після публічного розкриття інформації про CVE-2026-24061 компанія GreyNoise зафіксувала реальні спроби експлуатації. Шкідлива активність була помічена вже 21 січня, наступного дня після виходу патчу.
За їх даними, атаки надходили з 18 IP-адрес і були залучені щонайменше до 60 Telnet-сеансів. Зловмисники використовували узгодження опцій Telnet IAC для інʼєкції значення USER=-f <user>, що дозволяло отримати shell-доступ до пристрою без будь-якої аутентифікації. Протягом доби спроби експлуатації виходили вже з 21 унікального IP, розташованого в Гонконзі, США, Японії, Нідерландах, Китаї, Німеччині, Сингапурі та Таїланді.
Більшість атак виглядала автоматизованою, проте в окремих випадках було видно ознаки ручного дослідження скомпрометованих систем. Після отримання доступу оператори намагалися розгорнути Python-малварь, попередньо виконавши автоматизовану розвідку: збір інформації про ОС, пошук доступних директорій і бінарних файлів. Частина спроб провалювалася через нестачу очікуваного оточення, однак досвід масових інцидентів на кшталт ботнету Mirai свідчить, що подібні кампанії швидко еволюціонують.
Рекомендації із захисту від CVE-2026-24061 та ризиків Telnet
Негайні дії для адміністраторів
Системним адміністраторам і власникам пристроїв, де використовується GNU InetUtils telnetd, варто вжити таких заходів у найвищому пріоритеті:
- Оновити GNU InetUtils до версії 2.8 або новішої, де уразливість повністю усунено.
- Якщо оновлення неможливе оперативно, відключити сервіс telnetd на всіх некритичних системах.
- Заблокувати TCP-порт 23 (Telnet) на зовнішніх і внутрішніх міжмережевих екранах за відсутності жорсткої потреби в його використанні.
- Як тимчасовий обхідний шлях — налаштувати telnetd на застосування альтернативної реалізації login, яка не підтримує параметр
-f.
Додатково доцільно впровадити моніторинг мережевого трафіку та системних журналів на предмет підозрілих Telnet-підключень, зокрема із нетиповими опціями й аномальними значеннями змінної USER.
Довгострокове підвищення кіберстійкості
Інцидент із CVE-2026-24061 демонструє ризики «технічного боргу» та залежності від застарілих протоколів в інфраструктурі. Щоб зменшити подальші загрози, варто:
- Максимально відмовитися від Telnet на користь SSH та інших захищених протоколів адміністрування.
- Налагодити регулярне оновлення прошивок і ПЗ для серверів і IoT-пристроїв, із контролем за використанням застарілих версій.
- Періодично виконувати аудит відкритих портів і служб внутрішніми сканерами чи зовнішніми сервісами моніторингу експонованих ресурсів.
- Використовувати сегментацію мережі та принцип найменших привілеїв для ізоляції обладнання, яке неможливо швидко оновити або замінити.
Своєчасна відмова від відкритого Telnet, оперативне усунення уразливості CVE-2026-24061 та впровадження системного підходу до управління оновленнями істотно знижують ризики як поточних атак, так і майбутніх помилок у базових мережевих компонентах. Варто вже зараз перевірити власну інфраструктуру на наявність відкритого Telnet, закрити або оновити вразливі сервіси та закріпити ці кроки у політиках безпеки як невід’ємну частину щоденної практики кіберзахисту.
