20 января разработчик Саймон Йозефссон опубликовал в рассылке oss-sec информацию о крайне серьезной уязвимости в демоне telnetd, реализующем удаленное подключение по протоколу telnet. В традиционной для описания уязвимости терминологии суть проблемы заключается в следующем: «ошибка в обработке входящих данных позволяет злоумышленнику пропустить процесс аутентификации и получить на подверженной уязвимости системе права суперпользователя».
Применение таких терминов обычно обозначает, что подлинное описание проблемы либо слишком длинное, либо слишком сложное для понимания, но в данн��м случае это не так. При подключении к telnetd нужно указать имя пользователя. Его программа передает стандартной утилите login, причем передача осуществляется без предварительной проверки ввода от желающего подключиться. Если указать вместо имени пользователя строку «-f root», эти данные будут переданы в утилиту login, а она уже залогинит любого желающего под рутом без какой-либо авторизации, увидев соответствующий ключ -f. Собственно, это вся уязвимость как есть.
Проблема в ПО telnetd, входящего в набор программ GNU Inetutils, по данным Саймона Йозефссона, была внесена коммитом от 19 марта 2015 года, больше 10 лет назад, и с тех пор оставалась незамеченной. Подвержены уязвимости версии программы от 1.9.3 до 2.7, проблема закрыта в свежем релизе telnetd 2.8. Вскоре после сообщения Йозефссона уязвимости был присвоен идентификатор CVE-2026-24061 с близким к максимальному рейтингом 9,8 балла опасности по шкале CVSS. По словам первооткрывателя, ошибка в коде позволяет вспомнить «старые добрые времена», когда уязвимости были простые и понятные.
Потенциальный ущерб от данной проблемы пока неясен. С одной стороны, мало кому придет в голову использовать для подключения к хоть сколько-нибудь ответственным серверам по определению небезопасный протокол telnet. Его давно и прочно заменил зашифрованный ssh. С другой стороны, во множестве сетевых устройств или, например, промышленных контроллеров telnet используется довольно часто. Обновляются такие решения, наоборот, редко, и есть вероятность, что достаточно много устройств теперь имеют простой встроенный джейлбрейк. Интерес к данной уязвимости со стороны организаторов атак уже был подтвержден компанией GreyNoise — они фиксируют массовые попытки эксплуатировать проблему. Если подверженные устройства (например, промышленные IOT-решения) нельзя обновить, стоит рассмотреть возможность ограничения доступа к ним даже внутри корпоративной сети, не говоря уж о доступе извне.
Что еще произошло
Новый вариант атаки ClickFix обнаружила компания Huntress Labs. Атака начинается с установки вредоносного расширения в браузер, которое вызывает утечку памяти и падение программы. После того как пользователь перезапустит браузер, расширение выводит сообщение, показанное на скриншоте выше, — с предложением открыть терминал и вставить предварительно скопированную строку. Выполнение команды, естественно, приведет к установке в систему вредоносного ПО.
Разработчики популярной и повсеместно используемой утилиты curl с 1 февраля закрывают свою учетку на платформе Bug Bounty компании HackerOne. Закрытие официальной программы по вознаграждению з�� информацию об обнаруженных уязвимостях связано с резким увеличением числа «мусорных» сообщений, с которыми разработчикам все-таки приходится разбираться. Ранее разработчики curl уже предупреждали о данной проблеме и винили в ней в том числе безответственное использование ИИ-ассистентов. Их использовали для создания фейковых, но чрезвычайно убедительно составленных отчетов о якобы присутствующих в коде curl уязвимостях. У мейнтейнеров curl имеется даже коллекция таких рапортов из целых 42 штук. Программы Bug Bounty являются полезным инструментом, связывающим разработчиков и сообщество друг с другом, но абьюз данной системы в случае curl вынудил их закрыть официальный канал обратной связи. У разработчиков, работающих над оп��нсорсным проектом, по сути, на общественных началах, просто нет времени разбираться, какие сообщения о проблемах реальные, а какие нет.
Сообщается об активной эксплуатации обнаруженной в начале январе уязвимости в почтовом сервере SmarterMail. Закрытая 15 января проблема позволяет получить доступ к почтовой переписке, принудительно сбрасывая пароль администратора. Причина — отсутствие проверки старого пароля, то есть для успешной атаки требуется знать только имя пользователя с правами администратора.
Исследователи из команды Cyber Centaurs смогли вернуть похищенные и зашифрованные данные 12 жертвам вымогателя RainINC. В коде вредоносной программы обнаружились вшитые ключи доступа к серверной инфраструктуре, а уже там были найдены бэкапы данных, похищенных у разных организаций.
Поставщик услуг идентификации пользователей Okta в свежем отчете сообщает о распространении готовых инструментов для голосового фишинга, целью которых являются клиенты как Okta, так и других компаний, включая Google, Microsoft и популярные сервисы для работы с криптовалютой. Подготовленные наборы из фейковых страниц, проработанных сценариев общения с потенциальной жертвой по телефону преследуют цель перехвата учетной (как правило, корпоративной) записи. Злоумышленник в таком сценарии обычно представляется сотрудником корпоративно�� IT-поддержки и может в реальном времени контролировать процесс фишинга, сразу же проверяя легитимность предоставленных данных.
