В Банке данных угроз безопасности информации (BDU) зарегистрирована новая критическая уязвимость, представляющая серьёзную опасность для систем, использующих устаревший протокол Telnet. Уязвимости присвоены идентификаторы BDU:2026-00709 и CVE-2026-24061. Она затрагивает сервер telnetd, входящий в пакет сетевых утилит Inetutils, который часто используется в Unix-подобных операционных системах для удалённого доступа.
Детали уязвимости
Суть проблемы заключается в ошибке типа "неправильная нейтрализация разделителей аргументов" (CWE-88). Конкретно, уязвимость существует в обработке переменной окружения USER при установке Telnet-соединения. Злоумышленник, действующий удалённо, может сформировать специальную команду, содержащую вредоносные аргументы. В результате, при определённых условиях, это позволяет обойти механизмы безопасности и выполнить произвольный код на атакуемом сервере с максимальными привилегиями.
Уязвимость затрагивает все версии Inetutils, начиная с 1.9.3 и заканчивая 2.7 включительно. Разработчики из Free Software Foundation, Inc. уже подтвердили её наличие и выпустили исправления. Согласно методологии CVSS, базовый уровень опасности оценивается как критический: 10.0 по шкале CVSS 2.0 и 9.8 по CVSS 3.1. Такие высочайшие оценки означают, что для эксплуатации не требуются ни аутентификация злоумышленника, ни сложные условия, а последствия успешной атаки катастрофичны. Атакующий может получить полный контроль над системой, обеспечивая себе постоянное присутствие (persistence), красть конфиденциальные данные или развернуть вредоносную нагрузку, например, шифровальщик (ransomware).
Важно отметить, что, по данным BDU, эксплойт для этой уязвимости уже существует в открытом доступе. Следовательно, риск массовых автоматизированных атак значительно возрастает. Системы, имеющие Telnet-сервис, доступный из интернета, находятся в непосредственной опасности. Telnet давно считается небезопасным протоколом из-за передачи данных в открытом виде, и данная уязвимость лишь подчёркивает этот факт.
Основным способом устранения угрозы является обновление программного обеспечения до исправленной версии. Соответствующие патчи уже опубликованы в репозитории проекта на Codeberg. Однако в рекомендациях BDU содержится важное предостережение. В связи с текущей геополитической обстановкой и санкциями, организациям рекомендуется с особой тщательностью оценивать все сопутствующие риски перед установкой обновлений из любых источников, даже официальных.
Если немедленное обновление невозможно, эксперты настоятельно советуют применить комплекс компенсирующих мер. Прежде всего, необходимо полностью отказаться от использования протокола Telnet для удалённого доступа в пользу безопасных альтернатив, таких как SSH. Кроме того, следует использовать межсетевые экраны для строгого ограничения доступа к Telnet-портам, особенно из внешних сетей. Рекомендуется реализовать схему "белых списков" IP-адресов для оставшихся внутренних подключений. Наконец, для мониторинга и быстрого реагирования стоит настроить SIEM-системы на отслеживание любых подозрительных событий, связанных с Telnet-сессиями.
Обнаружение этой критической уязвимости служит очередным напоминанием об опасности устаревших протоколов и непроверенного кода. Администраторам и специалистам по информационной безопасности необходимо срочно провести инвентаризацию инфраструктуры на предмет наличия уязвимых версий Inetutils. Далее, безусловно, нужно незамедлительно принять меры по обновлению или изоляции таких систем. В противном случае организация рискует стать лёгкой мишенью для киберпреступников, которые не упустят возможности воспользоваться столь серьёзным изъяном.
Ссылки
- https://bdu.fstec.ru/vul/2026-00709
- https://www.cve.org/CVERecord?id=CVE-2026-24061
- https://codeberg.org/inetutils/inetutils/commit/fd702c02497b2f398e739e3119bed0b23dd7aa7b
- https://codeberg.org/inetutils/inetutils/commit/ccba9f748aa8d50a38d7748e2e60362edd6a32cc
- https://www.openwall.com/lists/oss-security/2026/01/22/1
- https://www.openwall.com/lists/oss-security/2026/01/20/2
- https://www.openwall.com/lists/oss-security/2026/01/20/8
