الأمن السيبراني
#أمن_سيبراني
#Telnet
تحذير: ثغرة خطيرة في Telnet تهدد 800 ألف خادم (2026)
رصدت منظمة Shadowserver المتخصصة في مراقبة أمن الإنترنت ما يقارب 800 ألف عنوان IP يحتوي على بصمات Telnet، مما يجعلها عرضة لهجمات عن بعد تستغل ثغرة خطيرة لتجاوز المصادقة في خادم GNU InetUtils telnetd.
تفاصيل الثغرة الأمنية (CVE-2026-24061)
تؤثر الثغرة الأمنية التي تحمل الرمز (CVE-2026-24061) على إصدارات GNU InetUtils من 1.9.3 (التي صدرت عام 2015) وحتى الإصدار 2.7. وقد تم إصلاح هذه المشكلة في الإصدار 2.8 الذي تم إطلاقه في 20 يناير من العام الحالي.
وأوضح سيمون جوزيفسون، المساهم في المصادر المفتوحة والذي أبلغ عن الثغرة، آلية عملها قائلاً: "يقوم خادم telnetd باستدعاء /usr/bin/login (الذي يعمل عادة بصلاحيات الجذر) ويمرر قيمة متغير البيئة USER المستلم من العميل كآخر معامل".
وأضاف جوزيفسون أنه إذا قام العميل بتوفير قيمة لمتغير البيئة USER مصممة بعناية لتكون السلسلة النصية "-f root"، ومرر معامل telnet(1) -a أو --login لإرسال بيئة USER هذه إلى الخادم، فسيتم تسجيل دخول العميل تلقائياً كجذر (Root) متجاوزاً عمليات المصادقة العادية.
انتشار عالمي واسع للخوادم المكشوفة
أعلنت Shadowserver اليوم أنها تتعقب ما يقارب 800,000 عنوان IP ببصمات Telnet مكشوفة عالمياً. وتتوزع هذه الأرقام جغرافياً كما يلي:
- أكثر من 380,000 عنوان في آسيا.
- ما يقارب 170,000 عنوان في أمريكا الجنوبية.
- أكثر من 100,000 عنوان في أوروبا.
ورغم هذه الأرقام الضخمة، لا تتوفر معلومات دقيقة حول عدد الأجهزة التي تم تأمينها بالفعل ضد هجمات CVE-2026-24061.
خطر أجهزة إنترنت الأشياء (IoT)
وعلق بيوتر كييفسكي، الرئيس التنفيذي لمؤسسة Shadowserver، على هذا الوضع قائلاً: "نحن نتحدث عن حوالي 800 ألف نسخة Telnet مكشوفة عالمياً - وبطبيعة الحال، لا ينبغي أن تكون كذلك. لا يجب أن يكون Telnet مكشوفاً للعامة، ولكنه غالباً ما يكون كذلك خاصة على أجهزة إنترنت الأشياء القديمة".
تُعد حزمة GNU InetUtils مجموعة من أدوات الشبكة (تشمل telnet/telnetd و ftp/ftpd وغيرها) وتستخدم عبر العديد من توزيعات Linux، وغالباً ما تعمل دون تحديثات لأكثر من عقد من الزمان على العديد من الأجهزة القديمة والمدمجة، مما يفسر وجودها الكثيف في أجهزة IoT.
رصد محاولات استغلال نشطة
بعد أيام قليلة من الكشف عن الثغرة، وتحديداً يوم الخميس، أفادت شركة الأمن السيبراني GreyNoise أنها رصدت بالفعل استغلالات لثغرة CVE-2026-24061 تُستخدم في هجمات محدودة.
بدأ النشاط الخبيث في 21 يناير (بعد يوم واحد من إصدار التصحيح) وانطلق من 18 عنوان IP عبر 60 جلسة Telnet. استغل المهاجمون التفاوض على خيار Telnet IAC لحقن الأمر 'USER=-f
استهدفت هذه الهجمات المستخدم 'root' في 83.3% من الحالات. ورغم أن معظمها بدا آلياً، إلا أن GreyNoise لاحظت بعض الحالات التي تشير إلى وجود "شخص خلف لوحة المفاتيح". وحاول المهاجمون بعد الوصول نشر برمجيات خبيثة بلغة بايثون، لكن المحاولات فشلت بسبب فقدان بعض الأدلة والملفات الثنائية.
كيف تحمي نفسك؟
يُنصح المسؤولون الذين لا يمكنهم ترقية أجهزتهم فوراً إلى الإصدار المصحح بتعطيل خدمة telnetd الضعيفة أو حظر منفذ TCP رقم 23 على جميع جدران الحماية (Firewalls) لضمان أمان شبكاتهم.
الأسئلة الشائعة
هي ثغرة تجاوز مصادقة حرجة في خادم GNU InetUtils telnetd تسمح للمهاجمين بالحصول على صلاحيات الجذر (Root) عبر التلاعب بمتغير البيئة USER.
رصدت منظمة Shadowserver ما يقارب 800,000 عنوان IP مكشوف عالمياً يحتوي على بصمات Telnet، معظمها في آسيا وأمريكا الجنوبية.
يجب التحديث إلى الإصدار 2.8 من GNU InetUtils، أو تعطيل خدمة telnetd، أو حظر منفذ TCP 23 عبر جدران الحماية.
التعليقات 0
سجل دخولك لإضافة تعليق
لا توجد تعليقات بعد. كن أول من يعلق!