GNU InetUtils Telnetd’de Kritik Kimlik Doğrulama Atlatma Açığı ve Root Erişimi Riski

Anasayfa » GNU InetUtils Telnetd’de Kritik Kimlik Doğrulama Atlatma Açığı ve Root Erişimi Riski
Saldırı Teknikleri, Siber Güvenlik, Zafiyetler
Ocak 31, 2026Ocak 31, 2026Tarafından Cybernews.TR
0
GNU InetUtils Telnetd’de Kritik Kimlik Doğrulama Atlatma Açığı ve Root Erişimi Riski

GNU InetUtils’un telnetd servisi, yaklaşık 11 yıldır fark edilmemiş kritik bir güvenlik açığı barındırıyor. CVE-2026-24061 koduyla izlenen bu zafiyet, 1.9.3 sürümünden 2.7 sürümüne kadar olan tüm versiyonları etkiliyor ve CVSS skorunda 9.8 gibi yüksek bir risk derecesine sahip.

Saldırının Genel Çerçevesi

Açık, telnetd’nin istemciden aldığı USER ortam değişkenini temizlemeden /usr/bin/login programına ‘-f root’ parametresi olarak iletmesiyle ortaya çıkıyor. Bu sayede, saldırganlar telnet istemcisinde -a veya –login parametresiyle bu ortam değişkenini manipüle ederek kimlik doğrulamasını atlayıp doğrudan root yetkisiyle oturum açabiliyorlar. Bu durum, login(1) programının -f parametresini kimlik doğrulama atlatmak için kullanmasıyla birleşince ciddi bir yetki yükseltme açığına dönüşüyor.

Hangi Sistemler Risk Altında?

GNU InetUtils telnetd 1.9.3 ile 2.7 sürümleri arasında çalışan tüm sistemler bu açığın hedefi. Özellikle eski Linux dağıtımları ve gömülü sistemlerde yaygın olan bu sürümler, kritik altyapılar, kamu kurumları ve kurumsal sunucular için büyük risk teşkil ediyor. Son raporlara göre, Hong Kong, ABD, Japonya, Hollanda, Çin, Almanya, Singapur ve Tayland kaynaklı 21 farklı IP adresi son 24 saatte bu açığı kullanarak uzaktan kimlik doğrulama atlatma girişiminde bulundu.

Saldırı Zinciri ve Teknik Detaylar

  • Zafiyet: CVE-2026-24061, telnetd’nin USER ortam değişkenini doğrulamadan /usr/bin/login’a iletmesi.
  • Saldırı Adımları: İstemci, ‘-f root’ içeren USER değişkenini gönderir; telnetd bu değeri login programına parametre olarak iletir; login programı kimlik doğrulamasını atlar ve root olarak oturum açılır.
  • Kullanılan Araçlar: Telnet protokolü, özel hazırlanmış telnet istemcisi parametreleri.
  • Hedefler: Linux tabanlı sistemler, özellikle eski InetUtils sürümleri kullananlar.
  • Sömürü Sonrası Faaliyetler: Sistem keşfi, SSH anahtarı kalıcılığı, kötü amaçlı yazılım dağıtımı.

Siber Güvenlik Ekipleri İçin Öneriler

  • İlgili GNU InetUtils sürümlerini 1.9.3 veya üzeri en güncel sürüme yükseltin.
  • Telnet portuna (23) erişimi sadece güvenilen IP adresleriyle sınırlandırın.
  • Telnetd servisini mümkünse devre dışı bırakın ve alternatif güvenli protokoller (SSH) kullanın.
  • EDR ve SIEM sistemlerinde telnet bağlantılarını ve ortam değişkeni manipülasyonlarını izleyin.
  • Login(1) programının ‘-f’ parametresinin kullanımını engelleyen özel araçlar veya yamalar uygulayın.
  • Ağ segmentasyonu ile telnet trafiğini kritik sistemlerden izole edin.
  • Olay müdahale planlarınızı bu tür yetki yükseltme saldırılarına göre güncelleyin.
  • Kullanıcı erişim yönetiminde Zero Trust prensiplerini uygulayarak yetki kontrollerini sıkılaştırın.

Regülasyon ve Uyumluluk Boyutu

ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), 26 Ocak 2026’da CVE-2026-24061’i Bilinen Sömürülmüş Güvenlik Açıkları (KEV) listesine ekleyerek federal kurumların 16 Şubat 2026’ya kadar yamaları uygulamasını zorunlu kıldı. Bu gelişme, benzer kritik zafiyetlerin regülasyonlar kapsamında yakından takip edildiğini ve uyumluluk gereksinimlerinin arttığını gösteriyor.

Sonuç olarak, bu açık sadece eski sistemleri değil, aynı zamanda güncel yamaların uygulanmadığı kurumsal ağları da tehdit ediyor. E-posta güvenliği, ağ segmentasyonu ve bulut güvenliği gibi diğer siber savunma katmanlarıyla birlikte, telnetd açığının kapatılması kritik önem taşıyor.

, , , , , , ,