CVE-2026–24061 是一个高危漏洞,CVSS评分为9.8(严重级别)。该漏洞存在于GNU Inetutils的telnetd服务中,属于远程认证绕过问题。漏洞产生的原因是telnetd在Telnet连接期间盲目信任传入的USER环境变量,而未进行适当的验证。这一缺陷使得攻击者可以完全绕过认证并获得root权限。
本文我们将分析CVE-2026–24061的运行原理与实际利用方法,并基于Criminal IP数据审视该漏洞的互联网暴露情况。
漏洞概述与根本原因
当远程客户端通过Telnet连接时,telnetd内部会调用/bin/login执行用户认证。在此过程中,登录用户名源自USER环境变量。
USER的值未经任何验证,直接作为执行参数传递给/bin/login。
核心问题在于缺少对USER值进行选项注入防护的验证逻辑。如果攻击者在USER环境变量中提供诸如-f root的值,该值不会被解释为用户名,而是作为命令行选项传递给/bin/login。
技术根源:不安全的/bin/login -f调用
/bin/login中的-f选项设计用于跳过密码验证,将用户视为已经过认证。换句话说,如果传递-f root,/bin/login会将root用户视为已认证,立即完成登录过程而无需检查密码。
最终结果是:telnetd将该请求视为合法登录,并在不要求凭证的情况下生成一个具有root权限的shell。
攻击场景与安全影响
攻击者可以在Telnet连接期间,向USER环境变量注入恶意选项,如下所示:
USER="-f root" telnet -a 127.0.0.1 XXXX
结果就是密码认证过程被完全跳过,攻击者可以立即以root用户身份登录,并获得一个root权限的shell。
这使得攻击者能够无限制访问/etc/passwd等关键系统文件,进而可能导致账号接管、持久后门安装以及长期系统失陷。
受影响版本
- GNU Inetutils telnetd:1.9.3 ≤ 版本 ≤ 2.7
任何运行受影响版本且对外暴露Telnet服务的系统,实际上都面临完全被攻陷的风险。
Criminal IP的实证暴露数据
一个漏洞的真实风险并不取决于PoC是否存在,而在于受影响服务在互联网上的暴露广度。
为了确认这一点,在Criminal IP资产搜索中使用了以下查询语句:
Criminal IP搜索查询: product:telnetd
截至2026年2月3日,Criminal IP识别出87,440个暴露在互联网上的资产。这表明基于Telnet的管理接口在全球许多地区仍然处于广泛暴露于外部网络的状态。
在审查其中一个识别的资产后,确认Telnet服务直接暴露在互联网上,并且通过登录banner可以清晰看到产品和厂商信息。因此,攻击者在侦察阶段就能轻易判断该服务是否存在漏洞。
如果此类资产运行着存在漏洞的telnetd版本,CVE-2026–24061将可被立即利用。
修复措施与建议行动
- 尽可能立即禁用Telnet服务
- 如无法禁用:
- 应用telnetd的最新补丁
- 通过防火墙/ACL阻止外部访问
- 切换到安全的协议,如SSH
- 使用Criminal IP资产搜索主动识别暴露在外的资产
- 识别并处置遗留的管理接口
结论
CVE-2026–24061不是一个简单的实现缺陷。它展示了一个认证绕过漏洞在Telnet等遗留管理服务暴露于互联网时,如何直接导致系统完全失陷的典型案例。
因此,有效的缓解措施不仅依赖于打补丁,还需要主动识别暴露在外的资产,并严格控制遗留管理接口。
CSD0tFqvECLokhw9aBeRqqy7pDVE9jtHSghPeFdiPyFied76qTunJD07ZXYld84rRW6vPAdM/ncBjK+1HrlQUw9kXyc6rCR25aB5IL8GJki3e5sq/E0Qv7ENg1kBZFU0Wcv7Gqh07GIKy+ZEc/1Eog==
