تم الكشف عن ثغرة أمنية حرجة في بوابة GNU InetUtils telnet (telnetd) لم يتم اكتشافها لمدة 11 عاماً تقريباً، مما يثير قلقاً كبيراً حول أمن الأنظمة التي تعتمد على هذه الخدمة.
وتُعرف هذه الثغرة بالرمز CVE-2026-24061، وقد تم تقييمها بدرجة 9.8 من 10.0 على مقياس CVSS، مما يشير إلى خطورتها الشديدة. وتشمل الثغرة جميع إصدارات GNU InetUtils بدءاً من الإصدار 1.9.3 وحتى الإصدار 2.7.
ثغرة حرجة في بوابة Telnetd تفتح الباب أمام اختراق الأنظمة
تتيح ثغرة telnetd في GNU InetUtils، عبر الإصدارات حتى 2.7، إمكانية تجاوز المصادقة عن بعد من خلال استخدام القيمة ‘-f root‘ لمتغير البيئة USER. هذا الاكتشاف، الذي نشره باحث أمني، يهدد بشكل مباشر خوادم لينكس.
وفقاً لوصف الثغرة في قاعدة بيانات NIST الوطنية للثغرات (NVD)، فإن المهاجم يمكنه استغلال هذه الآلية للوصول إلى أعلى الامتيازات على النظام المستهدف. هذا الأمر تسبب في حالة من القلق بين خبراء الأمن السيبراني.
كيفية استغلال الثغرة
أوضح سيمون جوزيفسون، أحد المساهمين في مشروع GNU، في منشور على قائمة البريد الإلكتروني oss-security، أن خادم telnetd يقوم بتشغيل برنامج `/usr/bin/login`، والذي يعمل عادةً بصلاحيات الـ root، ويمرر له قيمة متغير البيئة USER التي يستلمها من العميل كمعامل أخير.
إذا قام العميل بإرسال قيمة مصممة بعناية لمتغير البيئة USER، وهي السلسلة “-f root“، وقام بإرسالها إلى الخادم باستخدام خيارات معينة في عميل telnet، فسيتم تسجيل دخول العميل تلقائياً كـ root، متجاوزاً عمليات المصادقة العادية.
يعود السبب في ذلك إلى أن خادم telnetd لا يقوم بتنقية متغير البيئة USER قبل تمريره إلى `login(1)`، ويستخدم `login(1)` المعامل ‘-f‘ لتجاوز المصادقة العادية.
تاريخ الثغرة والتخفيف منها
وأشار جوزيفسون أيضاً إلى أن الثغرة تم إدخالها كجزء من تغيير في شفرة المصدر تم في 19 مارس 2015، وظهرت في الإصدار 1.9.3 الذي صدر في 12 مايو 2015. وقد تم نسب فضل اكتشاف الثغرة والإبلاغ عنها إلى الباحث الأمني كيو نيوشفشتاين (المعروف أيضاً باسم كارلوس كورتيس ألفاريز) في 19 يناير 2026.
للتخفيف من المخاطر، يُنصح بتطبيق أحدث التصحيحات الأمنية وتقييد الوصول الشبكي إلى منفذ telnet للعملاء الموثوق بهم. وكحلول مؤقتة، يمكن للمستخدمين تعطيل خادم telnetd، أو جعل بوابة InetUtils telnetd تستخدم أداة `login(1)` مخصصة لا تسمح باستخدام المعامل ‘-f‘.
نشاط مرصود للاستغلال
تشير البيانات التي جمعتها شركة الاستخبارات التهديدية GreyNoise إلى أن 21 عنوان IP فريد تم رصد محاولات لشن هجمات تجاوز المصادقة عن بعد باستخدام هذه الثغرة خلال الأربع والعشرين ساعة الماضية. وقد تم تصنيف جميع عناوين IP هذه، التي تنشأ من هونغ كونغ والولايات المتحدة واليابان وهولندا والصين وألمانيا وسنغافورة وتايلاند، على أنها ضارة.