Hoạt động khai thác zero-day tích cực đã được ghi nhận đối với một lỗ hổng CVE bypass xác thực nghiêm trọng trong máy chủ telnetd của GNU InetUtils, định danh là CVE-2026-24061. Lỗ hổng này cho phép kẻ tấn công không cần xác thực chiếm quyền root trên các hệ thống Linux.
Đây là một nguy cơ bảo mật cấp bách, đòi hỏi các quản trị viên hệ thống cần hành động khẩn cấp để bảo vệ hạ tầng của mình khỏi các cuộc tấn công mạng.
Phân Tích Sâu Về Lỗ Hổng CVE-2026-24061
Tổng Quan Kỹ Thuật Về Lỗ Hổng
Lỗ hổng CVE-2026-24061 ảnh hưởng đến các phiên bản GNU InetUtils từ 1.9.3 đến 2.7. Nó cho phép thực thi mã từ xa (remote code execution) thông qua thao tác biến môi trường USER trong giai đoạn thương lượng Telnet.
GreyNoise đã phát hiện một chiến dịch khai thác phối hợp, nhắm mục tiêu vào các dịch vụ Telnet (TCP/23). Mục tiêu là tận dụng điểm yếu bypass xác thực trong telnetd -f.
Cơ Chế Khai Thác Kỹ Thuật
Lỗ hổng này là một lỗi command injection. Nó xảy ra khi Telnet daemon chuyển biến môi trường USER không được kiểm soát tới chương trình /usr/bin/login.
Bằng cách cung cấp giá trị -f root, kẻ tấn công buộc chương trình login xử lý phiên làm việc như đã được xác thực trước. Điều này bỏ qua tất cả các kiểm tra thông tin đăng nhập, cấp quyền truy cập root ngay lập tức.
Lỗ hổng cốt lõi nằm ở cách telnetd gọi chương trình login. Thông thường, telnetd thực thi /usr/bin/login (chạy với quyền root) và chuyển biến USER do máy khách cung cấp làm đối số cuối cùng.
Để biết thêm chi tiết về định danh của lỗ hổng CVE, có thể tham khảo NIST NVD – CVE-2026-24061.
Luồng Khai Thác
Quá trình khai thác lỗ hổng CVE này diễn ra theo các bước sau:
- Kẻ tấn công khởi tạo kết nối đến dịch vụ Telnet trên hệ thống mục tiêu.
- Trong giai đoạn thương lượng Telnet, kẻ tấn công gửi một biến môi trường
USERđược chế tạo đặc biệt. - Biến
USERnày chứa chuỗi độc hại, ví dụ:"-f root". - Chương trình
telnetdchuyển chuỗi này trực tiếp làm đối số cho/usr/bin/login. - Chương trình
/usr/bin/logindiễn giải-f rootnhư một tùy chọn dòng lệnh hợp lệ. - Do đó,
/usr/bin/logincấp một shell root cho kẻ tấn công mà không yêu cầu bất kỳ thông tin xác thực nào.
Ví dụ minh họa lệnh CLI có thể được kẻ tấn công sử dụng:
telnet <target_ip> -l "-f root"Phân Tích Các Cuộc Tấn Công Mạng Thực Tế
Đặc Điểm Các Cuộc Tấn Công Đã Phát Hiện
Phân tích lưu lượng honeypot gần đây đã ghi nhận 60 lần cố gắng khai thác độc nhất. Các lần này đến từ 18 địa chỉ IP nguồn khác nhau. Đây là bằng chứng rõ ràng về hoạt động khai thác zero-day trong thực tế.
Các cuộc tấn công bao gồm từ quét cơ hội để tìm kiếm các hệ thống dễ bị tổn thương. Ngoài ra, còn có các cơ chế duy trì quyền truy cập có mục tiêu, bao gồm cả tiêm khóa SSH và triển khai mã độc.
Một trong những nguồn tấn công phổ biến nhất là 178.16.53[.]82. Địa chỉ này đã thực hiện 12 phiên nhắm vào 10 hệ thống riêng biệt. Kẻ tấn công sử dụng cấu hình tải trọng nhất quán với 9600 baud và XTERM-256COLOR.
Các tác nhân độc hại đang triển khai cấu hình tải trọng đa dạng. Mục đích là để né tránh các phương pháp phát hiện dựa trên chữ ký đơn giản. Điều này làm phức tạp công tác phòng thủ.
Thông tin chi tiết về các hoạt động khai thác này đã được GreyNoise Labs công bố trong báo cáo của họ: GreyNoise Labs: F* Around And Find Out – 18 Hours of Unsolicited Houseguests.
IOCs Quan Sát Được Từ Lỗ Hổng CVE Này
Các Chỉ số Thỏa hiệp (IOCs) sau đây đã được quan sát trong các chiến dịch tấn công khai thác lỗ hổng CVE-2026-24061:
- Địa chỉ IP nguồn:
178.16.53[.]82216.106.186[.]24
- Tên tệp độc hại:
apps[.]py(Tải trọng Python giai đoạn hai)
- Chuỗi khai thác Telnet:
USER=-f root(được gửi trong quá trình thương lượng)
Hành Vi Sau Khi Chiếm Quyền Kiểm Soát
Sau khi giành được quyền truy cập thông qua lỗ hổng CVE này, kẻ tấn công ngay lập tức thực hiện các lệnh trinh sát. Các lệnh phổ biến bao gồm uname -a, id và cat /etc/passwd. Chúng thường được bao bọc trong các dấu phân cách (ví dụ: S…EU…blah) để tự động phân tích cú pháp bởi hạ tầng C2.
Các tác nhân tiên tiến hơn cố gắng thiết lập duy trì quyền truy cập. Một chiến dịch từ 216.106.186[.]24 đã cố gắng thêm một khóa RSA 3072-bit vào ~/.ssh/authorized_keys.
Cùng một tác nhân này cũng đã cố gắng tải về tải trọng Python giai đoạn hai (apps[.]py) từ một máy chủ phân phối. Điều này cho thấy tiềm năng tuyển mộ vào một mạng botnet. Khả năng remote code execution sau đó được sử dụng cho các mục đích độc hại khác.
Biện Pháp Giảm Thiểu và Phòng Chống
Để bảo vệ hệ thống khỏi lỗ hổng CVE-2026-24061 và các cuộc tấn công tương tự, các tổ chức cần áp dụng các biện pháp sau:
- Cập nhật Phần mềm: Nâng cấp ngay lập tức các phiên bản GNU InetUtils lên phiên bản đã vá lỗi khi chúng được phát hành. Đây là biện pháp quan trọng nhất để khắc phục lỗ hổng CVE này.
- Vô hiệu hóa Dịch vụ Telnet: Nếu dịch vụ Telnet không thực sự cần thiết, hãy vô hiệu hóa hoặc gỡ bỏ
telnetdkhỏi hệ thống. - Hạn chế Truy cập Mạng: Triển khai tường lửa để hạn chế quyền truy cập vào cổng TCP/23 (Telnet) chỉ từ các địa chỉ IP đáng tin cậy hoặc mạng nội bộ.
- Sử dụng SSH: Thay thế Telnet bằng các giải pháp thay thế bảo mật hơn như SSH (Secure Shell) cho các kết nối từ xa. SSH cung cấp mã hóa và xác thực mạnh mẽ hơn.
- Giám sát và Phát hiện Xâm Nhập: Giám sát chặt chẽ nhật ký hệ thống để phát hiện các truy cập Telnet không được ủy quyền. Cần tìm kiếm các lệnh đáng ngờ hoặc hoạt động sau khi đăng nhập.
- Quản lý Quyền Truy Cập: Áp dụng các chính sách bảo mật chặt chẽ cho tài khoản root và các quyền truy cập đặc quyền khác. Đảm bảo sử dụng mật khẩu mạnh và xác thực đa yếu tố.
Việc không cập nhật bản vá bảo mật và tiếp tục sử dụng các phiên bản dễ bị tổn thương sẽ làm tăng nguy cơ chiếm quyền điều khiển hoàn toàn hệ thống. Đối phó với một lỗ hổng CVE nghiêm trọng như vậy đòi hỏi sự chủ động trong an ninh mạng.
