Обнаружена новая критическая уязвимость в демоне telnetd, входящем в состав пакета GNU InetUtils. Эта брешь, получившая идентификатор CVE-2026-32746, представляет собой классическое переполнение буфера и оценивается по шкале CVSS 3.1 в максимальные 9.8 баллов. Уязвимость позволяет неавторизованным злоумышленникам выполнить произвольный код с правами суперпользователя (root), что равносильно полному захвату контроля над уязвимой системой. Несмотря на отсутствие подтверждённых случаев активной эксплуатации в дикой среде, серьёзность угрозы требует немедленного внимания со стороны специалистов по информационной безопасности и сетевых администраторов.
Детали уязвимости CVE-2026-32746
Открытие было сделано специалистами Dream Security Labs. Проблема затрагивает все версии программного обеспечения вплоть до версии 2.7. С технической точки зрения уязвимость классифицируется как CWE-120 (Classic Buffer Overflow) и кроется в коде демона, отвечающем за обработку параметров LINEMODE SLC (Set Local Characters, установка локальных символов) в процессе согласования опций при подключении. Эксплуатация становится возможной при отправке специально сформированного сообщения, содержащего аномально высокое количество триплетов данных, на TCP-порт 23 во время первоначального «рукопожатия» соединения.
Ключевая опасность заключается в том, что уязвимый код выполняется мгновенно при установке соединения, ещё до того, как демон выводит приглашение к вводу логина и пароля. Следовательно, для успешной атаки злоумышленнику не требуются какие-либо учётные данные или взаимодействие с пользователем системы. Поскольку telnetd традиционно запускается с привилегиями суперпользователя через суперсерверы, такие как inetd или xinetd, успешное переполнение буфера предоставляет атакующему полный контроль над хостом. Это открывает путь для развёртывания скрытых бэкдоров, кражи конфиденциальных данных или использования скомпрометированного узла в качестве плацдарма для дальнейшего продвижения вглубь корпоративной сети.
Хотя в современных ИТ-средах протокол Telnet был практически повсеместно вытеснен безопасными альтернативами, такими как SSH, он по-прежнему глубоко интегрирован в системы промышленной автоматизации, операционные технологии и сети государственных учреждений. Многие устаревшие программируемые логические контроллеры, SCADA-системы и встраиваемые сетевые устройства были выпущены с Telnet в качестве единственного интерфейса удалённого управления. Модернизация такого наследия часто сопряжена с запретительно высокими затратами или серьёзными рисками для непрерывности производственных процессов. В результате данная уязвимость представляет собой прямую физическую угрозу для объектов критической инфструктуры: энергосетей, водоочистных сооружений и производственных линий, где жизненные циклы обновлений безопасности крайне длительны, а устаревшее оборудование зачастую остаётся незащищённым.
Организациям необходимо немедленно оценить степень своей подверженности данной угрозе, поскольку для компрометации злоумышленникам достаточно лишь установить сетевое соединение с уязвимой службой. В первую очередь, командам безопасности рекомендуется полностью отключить службу telnetd там, где это возможно. Если же сервис операционно необходим, администраторам следует заблокировать порт 23 на периметровом сетевом экране, ограничить доступ к нему только с доверенных IP-адресов и настроить демон на работу без привилегий суперпользователя.
Обнаружение попыток эксплуатации требует специальных мер на сетевом уровне, поскольку стандартные журналы аутентификации не зафиксируют эту атаку. Защитникам необходимо настроить сетевые экраны на логирование всех новых подключений к порту 23 и обеспечить захват соответствующего трафика для последующего криминалистического анализа. Кроме того, для оперативного реагирования целесообразно развернуть системы обнаружения вторжений, такие как Suricata или Snort, и настроить в них правила, генерирующие оповещения при передаче в подопциях LINEMODE SLC аномально больших полезных нагрузок, превышающих, например, 90 байт. Своевременное применение этих мер позволит существенно снизить риски, связанные с эксплуатацией критической уязвимости в устаревших, но всё ещё широко используемых сетевых службах.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2026-32746
- https://dreamgroup.com/vulnerability-advisory-pre-auth-remote-code-execution-via-buffer-overflow-in-telnetd-linemode-slc-handler/
- http://www.openwall.com/lists/oss-security/2026/03/14/1
