взломать интернет бесплатно 2026

USER="-f root" telnet -a 104.16.149.244 23

вот эта штука сверху, которой уже назначен CVE-2026-24061, дает подключиться по telnet сразу как root, без пароля.

что? 🐱

Давным давно в 2015 году, почему-то в нашей мировой линии, telnet был неуязвим, но в нём не работал автологин если на машине нет Kerberos.

Суть автологина - автоматически передать юзернейм для логина. Как когда по ssh коннектишься не указав логин, машина автоматически коннектится с именем текущего юзера.

Без Kerberos, этот юзернейм попросту не детектился.

Поэтому разработчики обновили шаблон логина, добавив динамический аргумент %U, что как раз подставляет юзернейм.

Новый шаблон:

/usr/bin/login " -p -h %h %?u{-f %u}{%U}"

и вот тут происходит кабум бабах ракета взрыв 🤯

1. В бинаре login есть флаг -f, нужный для "этот юзер уже был аутентифицирован где-то ещё, не надо его проверять снова"

2. По RFC 1572, подключаясь по telnet, ты можешь сдать переменные окружения, в том числе $USER с целевым логином

3. содержимое $USER переменной никак не санитизируется

. . .
Теперь перечитай эксплойт

USER="-f root" telnet -a 104.16.149.244 23

Да это же уязвимость на argument injection!


Повторим флоу атаки 🃏

0. выставляем переменную $USER="-f root" и включаем автологин -a

1. переменная $USER не проверяется, но учитывается сервером

2. $USER подставляется в шаблон логина вместо {%U}

3. сервер получает команду /usr/bin/login -p -f root

4. бинарь login скипает аутентификацию из-за -f

5. поздравляю, ты root

———
Dockerfile для тестовой лабы

FROM debian:11-slim

ENV DEBIAN_FRONTEND=noninteractive
RUN apt-get update && \
    apt-get install -y --no-install-recommends \
      inetutils-telnetd=2:2.0-1+deb11u2 \
      telnet && \
    rm -rf /var/lib/apt/lists/*

RUN useradd user1 && \
    sed -i 's/#<off># telnet/telnet/' /etc/inetd.conf

COPY docker-entrypoint.sh /docker-entrypoint.sh

EXPOSE 23
CMD ["/usr/sbin/inetutils-inetd", "-d"]

Если хочешь кишки кода и ветви логики, то читай этот подробный ресерч

📠 #события #infrastructure #ad #offense

➡️Снова критические уязвимости! ⚡️

В этот раз: обход аутентификации➡️сразу к root! С публичным PoC➕использованием в природе;

CVE-2026-24061 — CVSS (v3) ~9.8, Improper Neutralization of Argument Delimiters in a Command / Argument Injection➡️Authentication Bypass в telnetd: появилась тут и была с нами 10+ лет (GNU InetUtils v1.9.3 – v2.7 / 2015 – 2025 гг.);


1️⃣ В v1.9.3 добавили возможность подставить username из переменной окружения USER, чтобы починить автовход для случаев, когда не была доступна аутентификация Kerberos.

Сервер telnetd обращается к /usr/bin/login (обычно работает из-под root)➕передаёт ему значения для входа, в том числе и USER – вместо %U:

...
char *login_invocation =
  PATH_LOGIN " -p -h %h %?T{-t %T} -d %L %?u{-u %u}{%U}"
...

...
    case 'U':
      return getenv ("USER") ? xstrdup (getenv ("USER")) : xstrdup ("");
...

2️⃣ У /usr/bin/login есть флаг -f — пропустить аутентификацию! (например, для автовхода getty)

Ему даже можно передать username / UID пользователя: login [-p] [-s shell] [-h host] [-H] [[-f] username|UID]; // Например, root 🐇


3️⃣ Значение USER не нормализуется; Возможно поместить туда дополнительные флаги для /usr/bin/login➕попросить telnet провести автовход (флаги -a / --login):

USER='-f qwqoro' telnet -a 127.0.0.1‌‎ ‎ ‎ ‎ ‎ 

🔖 seclists.org/oss-sec/2026/q1/89
🔖 safebreach.com/...-cve-2026-24061
💻 github.com/SafeBreach-Labs/CVE-2026-24061
📦 github.com/leonjza/inetutils-telnetd-auth-bypass
🛜 shodan.io/search?query=product:"telnetd"


   @HaHacking  🐇