Lỗ hổng nghiêm trọng trong GNU InetUtils telnetd cho phép kẻ tấn công Bypass Login và giành quyền Root Access

Một lỗ hổng bảo mật nghiêm trọng đã được công bố trong daemon telnet của GNU InetUtils (telnetd) đã không được chú ý trong gần 11 năm. Lỗ hổng này, được theo dõi dưới dạng CVE-2026-24061, được đánh giá 9.8 trên 10.0 theo hệ thống tính điểm CVSS. Nó ảnh hưởng đến tất cả các phiên bản của GNU InetUtils từ phiên bản 1.9.3 đến phiên bản 2.7. "Telnetd trong GNU InetUtils qua 2.7 cho phép tấn công bypass xác thực từ xa."

Một lỗ hổng bảo mật nghiêm trọng đã được công bố trong daemon telnet của GNU InetUtils (telnetd) mà không được chú ý trong gần 11 năm.

Lỗ hổng này, được theo dõi dưới dạng CVE-2026-24061, được đánh giá 9.8 trên 10.0 theo hệ thống tính điểm CVSS. Nó ảnh hưởng đến tất cả các phiên bản của GNU InetUtils từ phiên bản 1.9.3 đến phiên bản 2.7.

"Telnetd trong GNU Inetutils qua 2.7 cho phép tấn công remote authentication bypass thông qua giá trị '-f root' cho biến môi trường USER," theo mô tả về lỗ hổng trong NIST National Vulnerability Database (NVD).

Trong một bài đăng trên mailing list oss-security, cộng tác viên GNU Simon Josefsson cho biết lỗ hổng có thể bị exploit để giành quyền root access vào hệ thống mục tiêu:

Máy chủ telnetd gọi /usr/bin/login (thường chạy với quyền root) chuyển giá trị của biến môi trường USER nhận được từ client làm tham số cuối cùng.

Nếu client cung cấp một giá trị biến môi trường USER được tạo ra cẩn thận là chuỗi "-f root", và chuyển tham số telnet(1) -a hoặc --login để gửi biến môi trường USER này đến máy chủ, client sẽ tự động đăng nhập với quyền root, bypass các quy trình xác thực thông thường.

Điều này xảy ra vì máy chủ telnetd không sanitize biến môi trường USER trước khi chuyển nó đến login(1), và login(1) sử dụng tham số -f để bypass xác thực thông thường.

Josefsson cũng lưu ý rằng lỗ hổng này được đưa vào như một phần của một commit mã nguồn được thực hiện vào ngày 19 tháng 3 năm 2015, và cuối cùng đã có mặt trong phiên bản 1.9.3 phát hành vào ngày 12 tháng 5 năm 2015. Nhà nghiên cứu bảo mật Kyu Neushwaistein (còn gọi là Carlos Cortes Alvarez) đã được ghi nhận công phát hiện và báo cáo lỗ hổng này vào ngày 19 tháng 1 năm 2026.

Để khắc phục, khuyến nghị áp dụng các bản vá lỗi mới nhất và hạn chế quyền truy cập mạng vào cổng telnet chỉ cho các client đáng tin cậy. Josefsson cho biết thêm, các biện pháp tạm thời bao gồm vô hiệu hóa máy chủ telnetd, hoặc yêu cầu InetUtils telnetd sử dụng một công cụ login(1) tùy chỉnh không cho phép sử dụng tham số '-f'.

Dữ liệu thu thập bởi công ty tình báo mối đe dọa GreyNoise cho thấy có 21 địa chỉ IP duy nhất đã được quan sát cố gắng thực hiện cuộc tấn công remote authentication bypass bằng cách tận dụng lỗ hổng trong 24 giờ qua. Tất cả các địa chỉ IP này, có nguồn gốc từ Hồng Kông, Hoa Kỳ, Nhật Bản, Hà Lan, Trung Quốc, Đức, Singapore và Thái Lan, đều đã bị gắn cờ là độc hại.