【安全资讯】GNU InetUtils Telnetd曝出严重漏洞，可轻松获取系统Root权限

概要：

在网络安全领域，一个潜伏了近11年的高危漏洞近日被披露，再次敲响了老旧协议与软件安全风险的警钟。该漏洞存在于GNU InetUtils的telnet守护进程（telnetd）中，编号为CVE-2026-24061，CVSS评分高达9.8。攻击者利用此漏洞可轻易绕过认证，直接获得目标系统的最高控制权（root访问权限），对仍在使用telnet服务的系统构成严重威胁。

主要内容：

该漏洞本质上是一个参数注入缺陷。攻击者通过向telnetd服务器发送一个精心构造的USER环境变量值（例如“-f root”），并配合特定的telnet连接参数，即可欺骗服务器进程，使其在调用`/usr/bin/login`程序时，将攻击者自动认证为root用户，完全绕过了正常的用户名和密码验证流程。

安全专家指出，与复杂的内存破坏漏洞相比，此类参数注入漏洞的利用过程极为简单和可靠。攻击者只需执行一条特定的telnet命令即可触发漏洞，成功率极高。Rapid7实验室已证实了漏洞的可利用性，并强调利用过程“微不足道”，却能导致目标系统完全沦陷。

尽管SSH等加密协议已成为远程管理的标准，但互联网上仍存在相当数量的可公开访问的telnet服务。漏洞披露后，监测数据显示已有多个独立IP地址尝试发起利用攻击。法国、加拿大和比利时的国家网络安全机构均已发布安全公告，强烈建议用户立即停用所有telnet服务，或至少将其更新至最新版本并严格限制网络访问。专家一致认为，最根本的解决方案是彻底淘汰不安全的telnet协议，转而采用SSH等更安全的替代方案。