严重Telnetd身份验证绕过漏洞（CVE-2024-6409）被野外利用获取Root权限

严重Telnetd身份验证绕过漏洞被利用获取Root权限

安全研究人员近期发现一场针对CVE-2024-6409的协同攻击活动，CVE-2024-6409是GNU InetUtils telnetd服务器中存在的一个严重身份验证绕过漏洞。该漏洞已存在11年，可允许未经身份验证的攻击者获取易受攻击系统的root级访问权限。

技术细节

• CVE编号：CVE-2024-6409
• CVSS评分：9.8（严重）
• 受影响软件：GNU InetUtils telnetd（修补版本之前的所有版本）
• 漏洞类型：通过不当输入验证绕过身份验证
• 攻击向量：远程攻击者发送精心构造的telnet数据包触发漏洞，绕过身份验证并以root权限执行任意命令。

该漏洞源于telnetd守护进程中对用户提供的输入验证不足，使得攻击者能够操纵身份验证机制。利用该漏洞需要访问telnet服务（默认端口23/TCP）。

影响分析

该漏洞带来的严重风险包括：

• 未经授权的root访问易受攻击的系统
• 通过被攻陷的telnet服务器在网络中进行横向移动
• 威胁行为者进行数据窃取或恶意软件部署
• 通过root权限建立持久化机制

安全公司GreyNoise报告称观察到针对该漏洞的大规模扫描活动，表明存在广泛的侦察行为。虽然尚未归因于特定威胁行为者，但此次攻击活动与利用新披露的严重漏洞进行的机会主义攻击相吻合。

防范建议

1. 立即修补：应用最新的GNU InetUtils更新以缓解CVE-2024-6409。
2. 禁用Telnet：使用SSH替代telnet进行安全的远程访问。
3. 网络分段：将telnet服务与不受信任的网络隔离。
4. 监控：部署IDS/IPS规则检测利用尝试（如异常telnet流量）。
5. 最小权限：限制telnet服务权限以最小化潜在影响。

使用依赖telnetd的嵌入式系统或遗留设备的组织应优先进行修复，因为该漏洞利用复杂度低且严重性高。