Анализ 18-часовой волны атак на уязвимость в Inetutils Telnetd: попытки есть, успеха нет

Уязвимость, получившая идентификатор CVE-2026-24061, позволяет атакующему обойти стандартную процедуру входа в систему, используя флаг "-f" в переменной окружения USER во время Telnet-сессии. В результате злоумышленник может получить прямой доступ к командной оболочке (shell) от имени произвольного пользователя, часто с привилегиями root. Этот метод классифицируется в рамках матрицы MITRE ATT&CK как техника первоначального доступа (Initial Access).

Анализ сетевого трафика, захваченного на уязвимых сенсорах, показал следующую картину. Всего было зарегистрировано 60 уникальных сессий, в рамках которых передано 1525 пакетов. Пиковая активность пришлась на IP-адрес 178.16.53[.]82, с которого было инициировано 12 сессий. Первая попытка зафиксирована 21 января 2026 года, а последняя - 22 января. При этом система обнаружения вторжений (IDS) Suricata сработала лишь в одном случае, когда в ответе от системы присутствовала строка, указывающая на успешный доступ от имени root.

Исследование тактик атакующих выявило несколько групп. Основная масса использовала стандартный полезный груз (payload) для получения прав суперпользователя: "USER=-f root". Однако наблюдались вариации: некоторые пробовали низкоуровневые учетные записи вроде "nobody" или "daemon", а один источник даже использовал несуществующее имя пользователя "nonexistent123". Подобное разнообразие указывает на использование разных скриптов или конфигураций.

Анализ постэксплуатационных действий показал их ограниченность и низкую эффективность. Наиболее распространенным сценарием была автоматизированная разведка: выполнение команд "uname -a", "id", "cat /proc/cpuinfo" для сбора информации о системе. В одном случае злоумышленник попытался установить механизм постоянства (persistence), добавив свою SSH-ссылку в файл "authorized_keys", но попытка провалилась из-за отсутствия соответствующего каталога. В другом - была предпринята попытка загрузить и выполнить вредоносный Python-скрипт с удаленного сервера, которая также не увенчалась успехом из-за отсутствия в системе необходимых утилит.

Интересно, что в некоторых случаях атакующие невольно раскрывали информацию о своей инфраструктуре. Например, в переменной DISPLAY передавались имена хостов, такие как "kali.kali" или "MiniBear". Более того, IP-адрес 67.220.95[.]16 использовался как для непосредственных атак, так и в качестве сервера для распространения вредоносного ПО (malware), что является грубой ошибкой с точки зрения операционной безопасности.

Эксперты отмечают, что несмотря на критический характер уязвимости, реальная угроза оказалась невысокой. Координированные действия продвинутых групп (APT) зафиксированы не были. Большинство инцидентов напоминало беспорядочное сканирование интернета автоматизированными скриптами. Сотрудничество с платформой Censys позволило оценить потенциальный масштаб проблемы: в сети может находиться около 3000 систем с уязвимым сервисом, но активные попытки эксплуатации затронули лишь небольшую их часть.

Таким образом, данная кампания стала наглядным примером того, как публикация сведений об уязвимости провоцирует волну низкоквалифицированных атак. Ситуация также подчеркивает важность своевременного обновления ПО и настройки систем обнаружения. Специалисты продолжают мониторинг, но пока не ожидают появления новых, более совершенных методов эксплуатации этой конкретной слабости.

IPv4

• 103.151.172.31
• 104.28.222.46
• 149.88.75.211
• 156.238.237.103
• 165.22.30.48
• 167.172.111.135
• 178.16.53.82
• 183.6.91.54
• 203.155.222.145
• 213.93.218.8
• 216.106.186.24
• 223.254.128.15
• 38.145.220.204
• 40.124.112.175
• 45.143.233.138
• 45.87.43.148
• 66.90.99.202
• 67.220.95.16

URLs

• http://67.220.95.16:8000/apps.py