СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Отчеты
Технологии киберугроз
26 января
#ИБ

Эксплуатация Inetutils Telnetd -f: массовые Telnet-атаки и C2

Недавний анализ выявил скоординированную кампанию злоумышленников, использующих службы Telnet на TCP‑порту 23 с эксплуатацией уязвимости обхода аутентификации Inetutils Telnetd -f. Этот недостаток позволяет атакующим внедрять команды в процесс обработки переменных среды демоном Telnet, в частности через пользовательскую переменную USER, совместно с флагом -f, что обеспечивает обход стандартных протоколов аутентификации и получение несанкционированного доступа.

Техническая суть уязвимости

Атака использует формат согласования Telnet IAC («Интерпретировать как команду») для внедрения вредоносной переменной USER в сессию сервера Telnet. В результате демоны Inetutils Telnetd, запущенные с флагом -f, могут выполнить внедрённые команды из переменных среды, что позволяет злоумышленнику обойти аутентификацию и выполнить дальнейшие действия на целевой системе.

Анализ показал, что раскрытие уязвимости позволило различным субъектам и платформам эксплуатировать системы, демонстрируя широкий спектр уровней и оперативных подходов в этих атаках.

Поведение атакующих и профиль активности

Мониторинг зафиксировал несколько сеансов с разных IP‑адресов; наблюдались разные тактики таргетинга и разные уровни автоматизации:

  • 216.106.186.24 — наиболее агрессивный актор: 9 сеансов против четырёх уникальных целей в пределах одной подсети /16. Зафиксировано внедрение открытого ключа SSH и развертывание вторичной полезной нагрузки в виде вредоносного ПО на базе Python.
  • 167.172.111.135 — поведение с элементами закрепления: 4 сеанса, все — против одной цели. Такое поведение указывает на стремление получить устойчивый доступ и, возможно, наличие дополнительных методов повышения привилегий.
  • 67.220.95.16 — менее зрелая оперативная практика: актор повторно использовал тот же источник первоначального доступа как инфраструктуру командования и контроля (C2), что говорит о недостаточной опербезопасности.
  • 103.151.172.31 — сеансы проводились через полноценный графический интерфейс Kali Linux, что предполагает менее автоматизированный и более ручной подход, возможно отражающий более низкий уровень навыков автоматизации.

Автоматизация, разведка и инфраструктура C2

Кампания включала автоматизированную разведку: сбор системных метаданных для оценки уязвимостей и управления каталогами инфраструктуры командования и контроля. Проанализированные данные указывают на систематический сбор и последующий анализ в рамках инфраструктуры C2, характеризующих уровень автоматизации в C2 processes.

Влияние на безопасность и практические выводы

Раскрытие уязвимости Inetutils Telnetd -f позволило различным злоумышленникам с разным уровнем подготовки эксплуатировать системы, что подчёркивает следующие риски:

  • неавторизованный доступ и последующее внедрение SSH‑ключей для постоянного доступа;
  • развертывание и исполнение вредоносных скриптов (в том числе на Python);
  • использование централизованных C2 инфраструктур для автоматизированного сканирования и управления заражёнными узлами;
  • вариативность тактик атакующих — от автоматизированных скриптов до ручного вмешательства через Kali‑сессии.

Рекомендации по защите

  • Приоритетно закрыть доступ по Telnet (TCP/23) или ограничить его с помощью сетевых ACL и VPN; по возможности перейти на защищённые альтернативы (например, SSH).
  • Обновить или удалить уязвимые версии Inetutils Telnetd и убедиться, что демоны не запускаются с флагом -f без крайней необходимости.
  • Проверить системы на наличие неавторизованных SSH‑ключей и вредоносных Python‑скриптов; при обнаружении — выполнить инцидент‑реагирование и очистку.
  • Мониторить сетевой трафик на предмет аномалий Telnet и подозрительных последовательностей IAC, а также использовать IDS/IPS‑правила для детекции похожих атак.
  • Блокировать и отслеживать предупредительные IP‑адреса (например, 216.106.186.24, 167.172.111.135, 67.220.95.16, 103.151.172.31) и проводить ретроспективный анализ логов.
  • Повысить осведомлённость команды по вопросам оперативной безопасности и развернуть механизмы изоляции и ограничений привилегий для снижения риска последующего повышения прав злоумышленниками.

Выявленная кампания демонстрирует, что даже устаревшие и часто игнорируемые сервисы типа Telnet остаются привлекательной целью для злоумышленников. Своевременное устранение уязвимостей, ограничение доступа и постоянный мониторинг — ключевые меры для снижения рисков.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: