CVE-2026-24061: Telnetd chyba, ktorá aj “bezpečnú” sieť zmení na root prístup


Keď “všetko je aktualizované” aj tak vznikne root prístup

Mnohé bezpečnostné programy vyzerajú výborne na papieri.

  • Perimeter je zabezpečený.
  • Heslá sa pravidelne menia.
  • Nástroje sú aktualizované.
  • Skeny sú zelené.
  • Bezpečnostné politiky sú nasadené.

A napriek tomu stačí jedna zabudnutá služba alebo jedna chyba v dôveryhodnom programe a celé prostredie sa môže zmeniť na otvorené pre útočníkov.

Presne preto je CVE-2026-24061 dôležitá.

Je to pripomienka, že “bezpečné” neznamená “neprelomiteľné”. Znamená to “ťažšie prelomiteľné”. Útočníci si vždy vyberú najľahšiu cestu.

Čo je CVE-2026-24061, stručne

CVE-2026-24061 je kritické obídenie autentifikácie v GNU InetUtils telnetd. Týka sa verzií 1.9.3 až 2.7 a má CVSS 9.8.

V skratke ide o to, že Telnet démon spracuje útočníkom ovplyvniteľnú hodnotu USER a následne ju bez dostatočnej sanitizácie posunie do procesu login, čo môže viesť k argument injection a k situácii, kde sa používateľ dostane k root prístupu bez platnej autentifikácie.

Zraniteľnosť bola zverejnená cez bezpečnostné odporúčanie od Simon Josefsson a pôvodne ju našiel a zodpovedne nahlásil Kyu Neushwaistein (Carlos Cortes Alvarez).

Po zverejnení sa veľmi rýchlo objavili aj pokusy o zneužitie a zároveň sa ukázalo, že Telnet je na internete stále masívne rozšírený.

Prečo to vyzerá ako “backdoor”, aj keď to backdoor nie je

Nikto sem úmyselne nevložil zadné vrátka. Je to chyba.

Ale z pohľadu útočníka to vyzerá podobne: cesta k root prístupu, ktorá obíde kontroly, na ktoré sa spoliehate.

A to je pointa:

Aj legálny, verejne rozšírený a aktualizovaný softvér môže obsahovať chybu, ktorá otvorí dvere, o ktorých ste netušili.

Zároveň nevieme, koľko podobných zraniteľností je denne zneužívaných kriminálnymi skupinami alebo štátom podporovanými útočníkmi bez toho, aby sa kedy dostali na verejnosť.

Scenár “bezpečného klienta”, ktorý aj tak zlyhá

Predstavte si firmu, ktorá má:

  • Dobre segmentovanú sieť.
  • Tvrdý perimeter a zabezpečené verejné služby.
  • Pravidelné záplaty a modernú ochranu endpointov.
  • Bezpečný cyklus hesiel a MFA.
  • Aktualizované nástroje.

A teraz pridajte jednu realitu, ktorá sa deje často:

Niekde v pozadí stále existuje legacy manažment služba. Možno starý appliance, embedded Linux, lab segment, OT sieť, alebo “dočasná” administrátorská skratka, ktorá tam zostala. Telnet je typický príklad, lebo sa objavuje tam, kde ho ľudia prestali hľadať.

Ak útočník získa akýkoľvek foothold, ukradnuté credentials, kompromitovaný VPN účet, phishing, dodávateľský incident, perimeter už nie je hlavný problém.

Vo vnútri siete môže zabudnutý Telnet plus CVE-2026-24061 predstavovať extrémne krátku cestu k eskalácii práv a laterálnemu pohybu.

Prečo je dôležitý assumed breach prístup

Klasický pentest často rieši otázku “vieme sa dostať dnu?”.

Assumed breach rieši otázku “čo sa stane, keď už útočník dnu je”.

Tento rozdiel je zásadný, pretože reálne incidenty často nezačínajú tým, že perimeter nikdy nepadne. Útočníci skúšajú veľa možností, identitu, dodávateľov, endpointy, až kým jedna nevyjde.

Assumed breach test overí scenáre, ktoré vám dashboard z patch manažmentu nepovie:

  • Či sa dá pivotovať medzi segmentami.
  • Či sa dá dostať k manažment rovinám.
  • Či sa dá eskalovať na admin alebo root úroveň.
  • Či sa dá exfiltrovať dáta bez detekcie.
  • Či SOC dokáže vidieť reálnu útočnú cestu včas.

CVE-2026-24061 je dobrý príklad, lebo ukazuje, ako jedna služba vie zmeniť interný prístup na plnú kontrolu.

Čo by firmy mali robiť

  • Odstrániť Telnet, kde sa dá: Nahradiť SSH alebo moderným manažmentom. Ak Telnet musí zostať, izolovať ho.
  • Zistiť, čo ste zabudli, že existuje: Asset inventory musí obsahovať aj služby a porty. Pravidelne overovať, že sa port 23 a iné legacy porty nevracajú po reinstalle, vendor image, alebo emergency zmene.
  • Záplaty rýchlo, ale počítať aj s obdobím bez hotového patchu: Keď nejde hneď aktualizovať, musia existovať kompenzačné opatrenia: vypnúť službu, obmedziť na IP, firewall, blok na hraniciach segmentov.
  • Segmentovať manažment prístup ako kritickú infraštruktúru: Jump hosty, MFA, minimalizovať routing a prístupové cesty.
  • Detekcia na legacy protokoly: Alerty na Telnet spojenia, neštandardné root sessions a anomálie v autentifikácii.

Ako môže pomôcť Haxoris

Aby sa z tohto incidentu stal reálny posun v bezpečnosti, Haxoris vie pomôcť napríklad takto:

  • Assumed breach penetračné testovanie.
  • Interný pentest a testovanie AD prostredia.
  • Perimeter a externý attack surface test.
  • Purple teaming.
  • Hardening review.

Záver

CVE-2026-24061 nie je len príbeh o Telnete.

Je to príbeh o viditeľnosti, testovaní a pokore.

Lebo realita infraštruktúrnej bezpečnosti je jednoduchá: Môžete robiť veľa vecí správne a aj tak prehrať na jednu zabudnutú maličkosť.

Assumed breach prístup tú maličkosť nájde skôr, než ju nájde útočník.

Nečakajte na útočníkov – odhaľte svoje najslabšie miesto s penetračným testom už teraz!

Rezervovať