⚠️ (CRITICAL) CVE-2026-24061: GNU Inetutils Telnetd’de Kritik Yetkilendirme Atlatma Açığı

['Heisenberg]

---

CVE-2026-24061
GNU Inetutils Telnetd → Pre-Auth Root (Login Option Injection)

---

Sorumluluk Notu
Bu gönderi savunma / güvenlik farkındalığı içindir.
Yetkisiz sistemlerde deneme yapmak suçtur. Burada istismar adımı/payload/komut dizisi gibi uygulanabilir yönergeler yoktur.

---

1) Hızlı Özet (TL;DR)

• Zafiyet: GNU Inetutils Telnetd (telnet sunucusu) tarafında “environment → login argüman” taşınması sırasında option injection
• Sonuç: Uygun koşullarda kimlik doğrulama atlanarak root yetkisi (pre-auth RCE değil; pratikte pre-auth root erişimi)
• Ana kırılma: Telnet NEW-ENVIRON üzerinden gelen USER gibi env alanları, login çağrısına “argüman gibi” yansıyabiliyor.
• “-f root” neden önemli? login’in -f bayrağı (force / no-auth akışı) yanlış bağlamda “kullanıcı verisi” olarak enjekte edilince kimlik doğrulama bypass’a dönüşebiliyor.
• Risk seviyesi: NVD tarafında kritik (CVSS 9.8) olarak sınıflandırılıyor.
• Durum: Sahada istismar dalgaları gözlemlendiğine dair raporlar var.

---

2) Bu Zafiyet Tam Olarak Ne?
Telnet protokolünde (özellikle RFC 1572 NEW-ENVIRON) bazı istemciler, sunucuya environment variable gönderebilir.
Inetutils telnetd, oturum açma akışında bazı env alanlarını (özellikle USER) alıp /bin/login gibi bir programa “kullanıcı bilgisi” niyetiyle aktarır.

Sorun şu noktada başlıyor:

• Env alanı güvenilmeyen kullanıcı girdisi.
• Bu alan, login’e argüman gibi taşınırsa,
• “-” ile başlayan değerler (ör: -f ...) login tarafından flag/option gibi parse edilebilir.

Bu da “environment üzerinden login option injection” sınıfına girer. NVD bunu CWE-88: Argument Injection olarak işaretliyor.

---

3) “-f root” Olayı: Mantık (Neden Bypass?)
-f bayrağı, bazı login implementasyonlarında “önceden doğrulanmış kullanıcı” varsayımıyla şifre sormayan / farklı doğrulama akışına giren bir yol açabilir.
Normal şartlarda bu bayrağı telnet kullanıcı girdisi belirleyemez.

Ancak CVE-2026-24061 senaryosunda:

• Telnet üzerinden taşınan USER gibi bir alan,
• login’e komut satırı argümanı gibi yansıyınca,
• “-f root” benzeri bir değer, login tarafından opsiyon gibi yorumlanabilir.

Özet: Buradaki kritik “hack” tekniği; telnet’in “opsiyonel env” özelliğinin, program argümanı gibi davranması ve login’in option parser’ını tetiklemesidir.

​

Attacker​

|​

| Telnet NEW-ENVIRON​

| USER = "-f root" (conceptual)​

v​

inetutils telnetd​

|​

| login süreci başlatılır​

| (env → argv benzeri aktarım)​

v​

login(1)​

|​

| "-f" kullanıcı adı değil​

| option olarak parse edilir​

v​

Kimlik doğrulama atlanır​

|​

v​

Yetkili (root) oturum​

​

---

4) Saldırgan Perspektifi (Yüksek Seviye Tehdit Modeli)
Aşağıdaki maddeler “nasıl yapılır” değil; ne arandığı ve neden tehlikeli olduğu içindir:

• Ön koşul: Hedefte telnetd aktif ve ağdan erişilebilir olmalı (özellikle OT/legacy sistemlerde).
• Teknik araç: Telnet option negotiation → NEW-ENVIRON kanalı üzerinden env taşınması.
• Hedeflenen kırılma: login’in option parser’ını tetiklemek.
• Pratik sonuç: Yetkisiz kullanıcı, oturum açma aşamasında root seviyesinde shell/oturum elde edebilir.
• Saha gözlemi: Bazı raporlar, internet üzerinde otomatik tarama + istismar dalgaları olduğunu belirtiyor.

---

5) Defansif Perspektif (Yapılacaklar Listesi)

A) En etkili çözüm: Telnet’i kapat

• Mümkünse telnet yerine SSH kullan.
• Telnet zorunluysa: sadece iç ağ/VPN, sadece allowlist IP’ler.

B) Patch/Upgrade

• Inetutils’i vendor/distro güncellemeleriyle güncelle.
• Upstream tarafında düzeltmelerin commit seviyesinde geçtiğini belirten distro tracker’ları var.

C) “Telnet açık kalacaksa” geçici kompanzasyonlar

• Firewall: 23/TCP dış dünyaya kapalı.
• Segmentation: Telnet sunucuları ayrı VLAN/zone.
• Honeypot / Canary: Telnet erişim denemelerini alarm üreten sensörlere bağla.
• IDS/IPS: Telnet NEW-ENVIRON ve özellikle USER alanında “-f” pattern’lerine odaklı kural/tespit.

---

6) Tespit & Avcılık (Hunting) İpuçları

A) Ağ Seviyesi

• İç ağında 23/TCP açık hostları çıkar (sadece yetkili ağlarda).
• Telnet oturum denemeleri ve başarısız/şüpheli login akışlarını korele et.

B) Host Seviyesi

• telnetd prosesi çalışıyor mu?
• inetutils sürümü nedir?
• login süreçleri olağandışı argümanlarla mı spawn oluyor? (process audit)

​

Servis var mı? (distroya göre değişebilir)​

​

systemctl status inetutils-telnetd​

systemctl status telnet.socket​

ss -lntp | grep ':23'​

​

​

Paket / sürüm kontrolü (Debian / Ubuntu örnek)​

​

dpkg -l | grep inetutils​

inetutils --version 2>/dev/null || true​

telnetd --version 2>/dev/null || true​

​

​

Günlükler (örnek)​

​

journalctl -u inetutils-telnetd --since "7 days ago"​

​

C) “-f root” odaklı alarm yaklaşımı
Bu CVE’de en çok konuşulan gösterge: env alanı üzerinden -f benzeri option enjeksiyon izleri.
Bunu log/audit katmanında yakalamak (process argümanları, telnet negotiation kayıtları, IDS payload metadatası) hızlı sinyal verir.

---

7) Etkilenme Kapsamı (Genel Çerçeve)

• Etkilenen: Raporlarda inetutils 2.7 ve öncesi sürümler öne çıkıyor.
• Özellikle riskli ortamlar: OT/ICS, embedded/legacy Linux dağıtımları, telnet’in hâlâ “kolay yönetim” için açık bırakıldığı sistemler.
• Yanlış güven: “Zaten telnet iç ağda” düşüncesi; lateral movement için saldırgana altın tepsi.

---

8) Kaynaklar (Linkli)

• NVD – CVE-2026-24061
• Vulnerability Details : CVE-2026-24061
• Openwall oss-security – inetutils telnetd / option injection duyurusu
• Root Cause Analysis & PoC Exploit for CVE-2026-24061 | SafeBreach
• CVE-2026-24061 Common Vulnerabilities and Exposures | SUSE
• Ubuntu Security Tracker – CVE-2026-24061

---

​

 

[b0yner]

---

CVE-2026-24061
GNU Inetutils Telnetd → Pre-Auth Root (Login Option Injection)

---

---

1) Hızlı Özet (TL;DR)

• Zafiyet: GNU Inetutils Telnetd (telnet sunucusu) tarafında “environment → login argüman” taşınması sırasında option injection
• Sonuç: Uygun koşullarda kimlik doğrulama atlanarak root yetkisi (pre-auth RCE değil; pratikte pre-auth root erişimi)
• Ana kırılma: Telnet NEW-ENVIRON üzerinden gelen USER gibi env alanları, login çağrısına “argüman gibi” yansıyabiliyor.
• “-f root” neden önemli? login’in -f bayrağı (force / no-auth akışı) yanlış bağlamda “kullanıcı verisi” olarak enjekte edilince kimlik doğrulama bypass’a dönüşebiliyor.
• Risk seviyesi: NVD tarafında kritik (CVSS 9.8) olarak sınıflandırılıyor.
• Durum: Sahada istismar dalgaları gözlemlendiğine dair raporlar var.

---

2) Bu Zafiyet Tam Olarak Ne?
Telnet protokolünde (özellikle RFC 1572 NEW-ENVIRON) bazı istemciler, sunucuya environment variable gönderebilir.
Inetutils telnetd, oturum açma akışında bazı env alanlarını (özellikle USER) alıp /bin/login gibi bir programa “kullanıcı bilgisi” niyetiyle aktarır.

Sorun şu noktada başlıyor:

• Env alanı güvenilmeyen kullanıcı girdisi.
• Bu alan, login’e argüman gibi taşınırsa,
• “-” ile başlayan değerler (ör: -f ...) login tarafından flag/option gibi parse edilebilir.

Bu da “environment üzerinden login option injection” sınıfına girer. NVD bunu CWE-88: Argument Injection olarak işaretliyor.

---

3) “-f root” Olayı: Mantık (Neden Bypass?)
-f bayrağı, bazı login implementasyonlarında “önceden doğrulanmış kullanıcı” varsayımıyla şifre sormayan / farklı doğrulama akışına giren bir yol açabilir.
Normal şartlarda bu bayrağı telnet kullanıcı girdisi belirleyemez.

Ancak CVE-2026-24061 senaryosunda:

• Telnet üzerinden taşınan USER gibi bir alan,
• login’e komut satırı argümanı gibi yansıyınca,
• “-f root” benzeri bir değer, login tarafından opsiyon gibi yorumlanabilir.

Özet: Buradaki kritik “hack” tekniği; telnet’in “opsiyonel env” özelliğinin, program argümanı gibi davranması ve login’in option parser’ını tetiklemesidir.

---

4) Saldırgan Perspektifi (Yüksek Seviye Tehdit Modeli)
Aşağıdaki maddeler “nasıl yapılır” değil; ne arandığı ve neden tehlikeli olduğu içindir:

• Ön koşul: Hedefte telnetd aktif ve ağdan erişilebilir olmalı (özellikle OT/legacy sistemlerde).
• Teknik araç: Telnet option negotiation → NEW-ENVIRON kanalı üzerinden env taşınması.
• Hedeflenen kırılma: login’in option parser’ını tetiklemek.
• Pratik sonuç: Yetkisiz kullanıcı, oturum açma aşamasında root seviyesinde shell/oturum elde edebilir.
• Saha gözlemi: Bazı raporlar, internet üzerinde otomatik tarama + istismar dalgaları olduğunu belirtiyor.

---

5) Defansif Perspektif (Yapılacaklar Listesi)

A) En etkili çözüm: Telnet’i kapat

• Mümkünse telnet yerine SSH kullan.
• Telnet zorunluysa: sadece iç ağ/VPN, sadece allowlist IP’ler.

B) Patch/Upgrade

• Inetutils’i vendor/distro güncellemeleriyle güncelle.
• Upstream tarafında düzeltmelerin commit seviyesinde geçtiğini belirten distro tracker’ları var.

C) “Telnet açık kalacaksa” geçici kompanzasyonlar

• Firewall: 23/TCP dış dünyaya kapalı.
• Segmentation: Telnet sunucuları ayrı VLAN/zone.
• Honeypot / Canary: Telnet erişim denemelerini alarm üreten sensörlere bağla.
• IDS/IPS: Telnet NEW-ENVIRON ve özellikle USER alanında “-f” pattern’lerine odaklı kural/tespit.

---

6) Tespit & Avcılık (Hunting) İpuçları

A) Ağ Seviyesi

• İç ağında 23/TCP açık hostları çıkar (sadece yetkili ağlarda).
• Telnet oturum denemeleri ve başarısız/şüpheli login akışlarını korele et.

B) Host Seviyesi

• telnetd prosesi çalışıyor mu?
• inetutils sürümü nedir?
• login süreçleri olağandışı argümanlarla mı spawn oluyor? (process audit)

C) “-f root” odaklı alarm yaklaşımı
Bu CVE’de en çok konuşulan gösterge: env alanı üzerinden -f benzeri option enjeksiyon izleri.
Bunu log/audit katmanında yakalamak (process argümanları, telnet negotiation kayıtları, IDS payload metadatası) hızlı sinyal verir.

---

7) Etkilenme Kapsamı (Genel Çerçeve)

• Etkilenen: Raporlarda inetutils 2.7 ve öncesi sürümler öne çıkıyor.
• Özellikle riskli ortamlar: OT/ICS, embedded/legacy Linux dağıtımları, telnet’in hâlâ “kolay yönetim” için açık bırakıldığı sistemler.
• Yanlış güven: “Zaten telnet iç ağda” düşüncesi; lateral movement için saldırgana altın tepsi.

---

8) Kaynaklar (Linkli)

• NVD – CVE-2026-24061
• Vulnerability Details : CVE-2026-24061
• Openwall oss-security – inetutils telnetd / option injection duyurusu
• Root Cause Analysis & PoC Exploit for CVE-2026-24061 | SafeBreach
• CVE-2026-24061 Common Vulnerabilities and Exposures | SUSE
• Ubuntu Security Tracker – CVE-2026-24061

---

​

Ellerine sağlık

 

[xNewt]

elinize sağlık