В сфере кибербезопасности обострилась ситуация вокруг уязвимости CVE-2026-24061 в telnetd, демоне для службы удаленного доступа Telnet из пакета GNU Inetutils. Появился рабочий эксплойт (proof-of-concept), что упрощает эксплуатацию этой критической уязвимости удаленного выполнения кода (RCE). При этом, согласно данным некоммерческой организации The Shadowserver Foundation, в открытом доступе в интернете остается около 800 000 экземпляров этой устаревшей службы, что создает огромную поверхность для атак.
Суть угрозы и масштаб проблемы
Уязвимость CVE-2026-24061 позволяет неавторизованным злоумышленникам выполнять произвольные команды на уязвимых системах. Проблема кроется в недостаточной проверке входных данных демоном telnetd, что дает возможность обходить механизмы аутентификации. С появлением готового кода эксплуатация уязвимости стала тривиальной задачей даже для угрозовых актеров с минимальной технической подготовкой.
Статистика, опубликованная The Shadowserver Foundation в своем отчете о доступных службах Telnet (Accessible Telnet Report), шокирует. Приблизительно 800 000 экземпляров Telnet остаются доступными на порту 23/TCP по всему миру. Эти данные подчеркивают тревожную реальность: устаревшие и небезопасные службы, такие как Telnet, продолжают массово использоваться в производственных средах, несмотря на их хорошо документированные риски.
Потенциальные последствия и векторы атаки
Telnet - это протокол, который передает все данные, включая учетные данные для входа, в открытом виде. Следовательно, скомпрометированная система сразу становится ценной для злоумышленников, которые могут похитить логины и пароли для дальнейшего перемещения по сети. В сочетании с уязвимостью удаленного выполнения кода, такой как CVE-2026-24061, открытые службы Telnet превращаются в критически опасные векторы для атак на инфраструктуру.
Учитывая доступность более 800 тысяч экземпляров и широкое распространение кода эксплойта, высоковероятен запуск массовых сканирований и кампаний по эксплуатации. Организации, использующие устаревшую инфраструктуру Telnet, столкнутся с неминуемым риском компрометации.
Рекомендации по устранению угрозы
Специалистам по безопасности необходимо действовать немедленно. В первую очередь, требуется провести аудит периметра сети на предмет наличия открытых служб Telnet. Важно проверять не только стандартный порт 23/TCP, но и альтернативные, такие как 2323 или 2222.
Приоритетной мерой является полное отключение демона telnetd. Вместо небезопасного Telnet следует повсеместно внедрить зашифрованный протокол SSH (Secure Shell). Если отключение службы невозможно по операционным причинам, необходимо реализовать строгие правила межсетевого экрана, ограничивающие доступ к Telnet только доверенными внутренними сетями.
The Shadowserver Foundation предоставляет инструменты для мониторинга ситуации. Их панель мониторинга (dashboard) содержит актуальную статистику по доступным экземплярам Telnet с разбивкой по странам, секторам экономики и автономным системам (ASN). Для оценки рисков организация помечает доступность Telnet как угрозу уровня "СРЕДНЯЯ" (MEDIUM), а подтвержденные случаи компрометации - как "КРИТИЧЕСКУЮ" (CRITICAL). Аналогичный уровень срочности применяется, например, к устройствам Zyxel CPE, уязвимым для CVE-2024-40891, или системам, зараженным ботнетом 7777.
Кроме того, командам безопасности SOC настоятельно рекомендуется отслеживать каналы разведки угроз на предмет активности, связанной с эксплуатацией CVE-2026-24061. Своевременное обнаружение попыток атаки позволит быстрее реагировать и минимизировать потенциальный ущерб.
Появление работающего эксплойта для CVE-2026-24061 превратило теоретическую угрозу в острую практическую проблему. Огромное количество доступных в интернете уязвимых систем создает идеальные условия для масштабных кибератак. В данной ситуации промедление с устранением рисков может привести к серьезным последствиям, включая утечку данных и полный контроль злоумышленников над инфраструктурой.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2026-24061
- https://github.com/SafeBreach-Labs/CVE-2026-24061
- https://lists.debian.org/debian-lts-announce/2026/01/msg00025.html
- https://www.gnu.org/software/inetutils/
