Исследователи в области кибербезопасности раскрыли критическую, неисправленную уязвимость в демоне GNU Inetutils telnet (telnetd), которая представляет серьезную угрозу для сетевой безопасности. Уязвимость, зарегистрированная как CVE-2026-32746 с максимальным баллом CVSS 9.8, позволяет неаутентифицированному удаленному злоумышленнику выполнять произвольный код с привилегиями root. Уязвимость заключается в обработчике подопции LINEMODE Set Local Characters (SLC), где запись за пределы выделенной памяти приводит к переполнению буфера. Это состояние может быть использовано для достижения удаленного выполнения кода (RCE) на целевой системе, что фактически дает злоумышленнику полный контроль без какой-либо предварительной аутентификации.
Уязвимость была обнаружена и сообщена израильской компанией по кибербезопасности Dream 11 марта 2026 года. Она затрагивает все версии реализации службы Telnet вплоть до версии 2.7. Согласно рекомендациям, эксплуатация тревожно проста: злоумышленнику необходимо лишь установить сетевое соединение с портом Telnet по умолчанию (TCP/23) и отправить специально сформированное сообщение во время начального квитирования протокола — до появления любого запроса на вход в систему. Это означает, что не требуются учетные данные, взаимодействие с пользователем или привилегированное сетевое положение. Обработчик SLC, который управляет согласованием опций в протоколе Telnet, не выполняет должную проверку входных данных, что позволяет вредоносным подопциям с чрезмерным количеством «триплетов» повредить память и захватить поток выполнения.
Успешная эксплуатация этой уязвимости приводит к полной компрометации системы, поскольку служба telnetd обычно работает с привилегиями root. Злоумышленник, получивший такой уровень доступа, может выполнять широкий спектр действий после эксплуатации. К ним относятся развертывание постоянных бэкдоров для долгосрочного доступа, извлечение конфиденциальных данных и использование скомпрометированного узла в качестве точки опоры для перемещения внутри сети. Особенность атаки, заключающаяся в ее выполнении до аутентификации, делает ее особенно опасной для любой системы, обращенной к интернету и работающей на уязвимом telnetd, поскольку она может быть целью автоматизированных инструментов сканирования и эксплуатации.
На данный момент официальный патч для CVE-2026-32746 недоступен. Ожидается, что сопровождающие проекта GNU Inetutils выпустят исправление к 1 апреля 2026 года. Тем временем организациям настоятельно рекомендуется принять немедленные защитные меры. Основной и наиболее эффективной мерой является полное отключение службы Telnet, особенно на системах, доступных из интернета. Telnet — это по своей сути небезопасный протокол, который передает данные, включая учетные данные, в открытом виде, и его использование следует прекратить в пользу безопасных альтернатив, таких как SSH (Secure Shell). Для систем, где Telnet не может быть немедленно удален, следует реализовать строгий контроль сетевого доступа, чтобы блокировать порт 23/TCP из ненадежных сетей. Непрерывный мониторинг попыток эксплуатации и немедленное применение патча после его выпуска являются критически важными следующими шагами.
