【安全资讯】黑客利用GNU InetUtils关键认证绕过漏洞获取root权限

概要：

近期，网络安全领域曝出一项潜伏长达11年的高危漏洞，正被黑客组织积极利用。该漏洞存在于广泛使用的GNU InetUtils telnetd服务器中，允许攻击者绕过身份验证直接获取系统最高权限（root）。鉴于Telnet协议在工业控制系统（ICS）、物联网（IoT）设备及众多遗留系统中的普遍存在，此漏洞对关键基础设施和企业的安全构成了严重威胁。

主要内容：

该漏洞被追踪为CVE-2026-24061，其根源在于GNU InetUtils的telnetd组件在处理环境变量时存在缺陷。具体而言，telnetd在生成‘/usr/bin/login’进程时，未对用户可控的USER环境变量进行净化处理。攻击者通过设置USER为“-f root”并配合telnet -a命令连接，即可完全跳过认证环节，直接以root身份获得系统访问权限。此漏洞影响自2015年发布的1.9.3版至2.7版的所有GNU InetUtils，已于2.8版中修复。

威胁监控公司GreyNoise已监测到针对此漏洞的真实世界攻击活动。在1月21日至22日期间，攻击源自18个独立的IP地址，共发起了60次Telnet会话，发送了超过1500个恶意数据包。攻击手法滥用了Telnet的IAC选项协商机制，注入恶意USER参数以实现未授权访问。尽管大部分攻击为自动化脚本，但也观测到少量人工交互的迹象。

在成功利用漏洞后，攻击者会进行自动化侦察，并尝试持久化SSH密钥、部署Python恶意软件，意图建立长期控制。不过，在已观测到的案例中，由于目标系统缺少必要的二进制文件或目录，这些后续攻击尝试未能成功。尽管如此，该漏洞的易利用性和公开的利用代码，使得相关系统面临极高的风险。

专家强调，尽管暴露在公网且启用Telnet的服务已不多见，但在工业控制、物联网等封闭或遗留环境中，Telnet因其简单性和低开销仍被大量使用。这些系统往往难以升级或替换，使得修补漏洞变得异常困难。因此，管理员必须尽快应用补丁，或通过禁用telnetd服务、在防火墙封锁TCP 23端口等措施进行缓解。