يستغل المتسللون ثغرة خطيرة في تجاوز مصادقة telnetd للوصول إلى الجذر

تمت ملاحظة حملة منسقة تستهدف ثغرة أمنية خطيرة تم الكشف عنها مؤخرًا والتي كانت موجودة في خادم GNU InetUtils telnetd لمدة 11 عامًا.

يتم تتبع المشكلة الأمنية تحت الرقم CVE-2026-24061 وتم الإبلاغ عنها في 20 يناير. ومن السهل الاستفادة منها وتتوفر أمثلة متعددة للاستغلال بشكل عام.

استمر الخطأ منذ عام 2015

مساهم مفتوح المصدر”https://seclists.org/oss-sec/2026/q1/89″ الهدف=”_blank” rel=”nofollow noopener”>يشرح سيمون جوزيفسون أن مكون telnetd الخاص بـ GNU InetUtils يحتوي على ثغرة أمنية لتجاوز المصادقة عن بعد ناتجة عن التعامل مع متغير البيئة غير المعقم عند نشر ‘/usr/bin/login’.

“https://www.bleepstatic.com/c/w/wiz/MCP-Research-Guide-970×250.png” البديل=”Wiz”>

يحدث الخلل لأن telnetd يقوم بتمرير متغير بيئة المستخدم الذي يتحكم فيه المستخدم مباشرةً إلى تسجيل الدخول (1) دون إجراء أي عملية تنظيف. عن طريق تعيين المستخدم على -ف الجذر والاتصال معالتلنت -أ الأمر، يمكن للمهاجم تخطي المصادقة والحصول على الوصول إلى الجذر.

تؤثر المشكلة على إصدارات GNU InetUtils من 1.9.3 (التي تم إصدارها في 2015) إلى 2.7، وتم تصحيحها في الإصدار 2.8. بالنسبة لأولئك الذين لا يستطيعون الترقية إلى الإصدار الآمن، تتضمن استراتيجيات التخفيف تعطيل خدمة telnetd أو حظر منفذ TCP 23 على كافة جدران الحماية.

جنو إنتوتيلز عبارة عن مجموعة من أدوات عميل الشبكة والخادم الكلاسيكية (telnet/telnetd، ftp/ftpd، rsh/rshd، ping، Traceroute) التي يحتفظ بها مشروع GNU، وتستخدم عبر توزيعات Linux المتعددة.

على الرغم من أن Telnet هو مكون قديم غير آمن تم استبداله إلى حد كبير بـ SSH، إلا أن العديد من أنظمة Linux وUnix لا تزال تتضمنه من أجل التوافق أو احتياجات الاستخدام المتخصصة. وهو منتشر بشكل خاص في القطاع الصناعي بسبب بساطته وانخفاض تكاليفه العامة.

ويمكن تشغيله على الأجهزة القديمة والمدمجة دون تحديثات لأكثر من عقد من الزمن، وهو ما يفسر وجوده في أجهزة إنترنت الأشياء والكاميرات وأجهزة الاستشعار الصناعية وشبكات تكنولوجيا التشغيل (OT).

كريستيان القرنية صرحت شركة Zerotak، وهي شركة متخصصة في اختبار الاختراق وخدمات الأمن السيبراني، لموقع BleepingComputer أنه من الصعب استبدال الأنظمة المهمة في بيئات OT/ICS.

وقال الباحث إن هذا مستحيل في بعض الأحيان لأن الترقيات تكون مصحوبة بعمليات إعادة تشغيل. “As a result, we still encounter systems running Telnet servers, and even if you tried to replace them with more secure protocols such as SSH, this is not feasible due to legacy systems that remain in operation.”

لا يزال المزيد من المستخدمين التقنيين يعتمدون على telnet في بعض المشاريع:

مستخدم آخر”https://x.com/ryorgason/status/2014581700928668048″ الهدف=”_blank” rel=”nofollow noopener”>أكد استخدام التلنت “to connect to older Cisco devices that are way past “End of Life.”  Same SSH issue.”

ومع ذلك، فإن الأجهزة المكشوفة على الإنترنت العام والتي لا تزال بها شبكة telnet نشطة نادرة، مما دفع العديد من الباحثين إلى وصف الثغرة الأمنية CVE-2026-24061 بأنها أقل خطورة.

شركة مراقبة التهديدات”https://www.labs.greynoise.io/grimoire/2026-01-22-f-around-and-find-out-18-hours-of-unsolicited-houseguests/index.html” الهدف=”_blank” rel=”nofollow noopener”> تقارير GrayNoise أنها اكتشفت نشاط استغلال في العالم الحقيقي يستفيد من CVE-2026-24061 ضد عدد صغير من نقاط النهاية الضعيفة.

تم تسجيل النشاط في الفترة ما بين 21 و22 يناير، وقد نشأ من 18 عنوان IP فريدًا للمهاجمين عبر 60 جلسة Telnet، وجميعها تعتبر ضارة بنسبة 100%، حيث تم إرسال 1525 حزمة يبلغ إجمالي حجمها 101.6 كيلوبايت.

تسيء الهجمات استخدام تفاوض خيار Telnet IAC لإدخال “USER=-f ” ومنح الوصول إلى Shell بدون مصادقة. يقول GreyNoise أن معظم النشاط يبدو آليًا، على الرغم من أنه لاحظ عددًا قليلاً من حالات “الإنسان على لوحة المفاتيح”.

تباينت الهجمات من حيث السرعة الطرفية والنوع وقيم X11 DISPLAY، ولكن في 83.3% من الحالات، استهدفت المستخدم “الجذر”.

في مرحلة ما بعد الاستغلال، أجرى المهاجمون استطلاعًا آليًا وحاولوا الاحتفاظ بمفاتيح SSH ونشر برامج Python الضارة. يشير GreyNoise إلى أن هذه المحاولات فشلت على الأنظمة المرصودة بسبب فقدان الثنائيات أو الدلائل.

في حين أن نشاط الاستغلال يبدو محدودًا من حيث النطاق والنجاح، إلا أنه يجب تصحيح الأنظمة التي يحتمل أن تتأثر أو تقويتها وفقًا للتوصيات قبل أن يقوم المهاجمون بتحسين سلاسل الهجوم الخاصة بهم.