Risma2025/CVE-2026-24061-GNU-InetUtils-telnetd-Authentication-Bypass-Vulnerability

# CVE-2026-24061-GNU-InetUtils-telnetd-身份验证绕过漏洞 ## 案例研究：CVE-2026-24061 调查 (HTB Sherlock: Telly) ## 📌 概述 本仓库包含对 **CVE-2026-24061** 安全事件的技术调查，这是一起涉及 `GNU InetUtils telnetd` 中关键身份验证绕过漏洞的安全事件。该分析基于 **Hack The Box (HTB) Sherlock: Telly** 挑战的 PCAP 文件，重点关注漏洞利用机制和事后利用活动。 ## 🛡️ 执行摘要 2026年1月27日，外部攻击者利用 Telnet 服务的漏洞获得了未经授权的 **root 访问权限**。攻击者通过注入恶意环境变量 (`USER=-f root`) 绕过了身份验证，建立了持久化，并窃取了敏感数据。 ## 🕵️ 技术调查与时间线 以下时间线是通过深度包检查 (DPI) 和 TCP 流重建重构的： * **10:39:28 (漏洞利用)：** 攻击者通过 Telnet `NEW-ENVIRON` 选项使用 `USER=-f root` 触发绕过。 * **10:41:33 (持久化)：** 创建了名为 `cleanupsvc` 的后门账户。 * **10:44:02 (工具传入)：** 使用 `wget` 从 GitHub 下载了持久化脚本 (`linper.sh`)。 * **10:47:30 (C2 建立)：** 与命令与控制 (C2) IP `91.99.25.54` 建立了出站通信。 * **10:49:54 (数据窃取)：** 成功窃取了敏感的数据库文件。 ## 🛠️ 分析方法 * **工具：** Wireshark v4.6.3。 * **使用的关键过滤器：** `telnet`。 * **技术：** 重建交互式 TCP 流以识别 `useradd`、`passwd` 和 `wget` 等命令。 ## 🗺️ MITRE ATT&CK® 映射 | 战术 | 技术 | ID | | :--- | :--- | :--- | | **初始访问** | 利用面向公众的应用程序 | T1190 | | **持久化** | 有效账户（后门账户） | T1078 | | **命令与控制** | 应用层协议：Telnet | T1071.001 | | **数据窃取** | 通过 C2 通道窃取数据 | T1041 | | **凭证访问** | 操作系统凭证转储 (`/etc/shadow`) | T1003 | ## 🚨 妥协指标 (IOCs) * **漏洞利用字符串：** `USER=-f root` * **后门账户：** `cleanupsvc` * **C2 IP：** `91.99.25.54` * **持久化脚本：** `https://raw.githubusercontent.com/montysecurity/linper/refs/heads/main/linper.sh` ## 🚀 建议 * **禁用 Telnet：** 立即用 **SSH** 替换以实现加密的远程访问。 * **网络分段：** 实施分段以隔离关键备份服务器。 * **监控：** 部署 **IDS/IPS** 签名以对可疑的 Telnet 选项发出警报。 * **日志记录：** 启用集中式日志记录 (SIEM) 以便对账户创建活动进行可见性监控。 ## 🔎 参考资料 * https://www.offsec.com/blog/cve-2026-24061/ * https://nvd.nist.gov/vuln/detail/CVE-2026-24061 * https://www.cvedetails.com/cve/CVE-2026-24061/ **作者：** Risma Fareedh | *网络安全专业人士 | 数字取证爱好者 | CTF 选手*

标签：CISA项目, CVE-2026-24061, DAST, GNU InetUtils, Hack The Box, HTB, NEW-ENVIRON, PCAP分析, Sherlock, TCP流重构, telnetd, Telnet协议, Wireshark, 内核驱动, 句柄查看, 后门账户, 命令与控制, 域环境安全, 库, 应急响应, 恶意软件分析, 数据外泄, 深度包检测, 漏洞分析, 环境变量注入, 网络协议, 网络安全, 网络安全分析, 认证绕过, 路径探测, 隐私保护