تم الكشف مؤخراً عن ثغرة أمنية حرجة للغاية في خدمة GNU InetUtils telnet daemon (telnetd) ظلت غير مكتشفة لمدة 11 عاماً، مما يعرض آلاف الخوادم لخطر الاختراق الكامل. الثغرة التي تحمل الرمز CVE-2026-24061 حصلت على تقييم خطورة شبه كامل (9.8 من 10)، وتسمح للمهاجمين بتجاوز شاشة تسجيل الدخول والحصول على صلاحيات الروت (Root) مباشرة.
ما هي خطورة ثغرة CVE-2026-24061 الجديدة؟
تعتبر هذه الثغرة واحدة من أخطر التهديدات المكتشفة حديثاً لأنها لا تتطلب مهارات معقدة لاستغلالها، وتؤثر على جميع إصدارات GNU InetUtils من الإصدار 1.9.3 وحتى الإصدار 2.7.
وفقاً لقاعدة بيانات الضعف الوطنية (NVD)، تسمح الثغرة بتجاوز المصادقة عن بعد عبر التلاعب بمتغير البيئة USER وتمرير القيمة '-f root'. هذا يعني أن المهاجم يمكنه الدخول كمدير للنظام دون الحاجة لمعرفة كلمة المرور، مما يمنحه سيطرة كاملة على الخادم المستهدف.
كيف تعمل آلية الهجوم وتجاوز المصادقة؟
أوضح مطورو GNU أن المشكلة تكمن في الكود المصدري الذي تم إدراجه منذ عام 2015. وبحسب تحليل فريق تيكبامين التقني، فإن الثغرة تعتمد على آلية عمل خادم telnetd عند استدعاء برنامج تسجيل الدخول.
تتم عملية الاستغلال وفق الخطوات التالية:
- يقوم المهاجم بإرسال قيمة مصاغة بعناية للمتغير USER تحتوي على النص "-f root".
- يفشل خادم telnetd في التحقق من صحة المدخلات وتنظيفها قبل تمريرها.
- يتم تمرير القيمة إلى أداة `/usr/bin/login` التي تفسر المعامل `-f` كأمر لتجاوز المصادقة.
- يقوم النظام بتسجيل دخول المهاجم بصلاحيات الروت فوراً.
هل يتم استغلال الثغرة حالياً من قبل القراصنة؟
للأسف، الإجابة هي نعم. تشير البيانات الواردة من شركات استخبارات التهديدات الرقمية مثل GreyNoise إلى نشاط ملحوظ يستهدف هذه الثغرة خلال الـ 24 ساعة الماضية، مما يستدعي تحركاً فورياً من مديري الأنظمة.
أبرز مؤشرات الخطر المرصودة:
- تم رصد 21 عنوان IP فريد يحاول تنفيذ هجمات تجاوز المصادقة.
- تتوزع مصادر الهجمات بين هونغ كونغ، الولايات المتحدة، الصين، وألمانيا.
- جميع العناوين المرصودة تم تصنيفها كجهات خبيثة تسعى للسيطرة على الخوادم.
كيف تحمي خوادمك من هذا الاختراق الخطير؟
ينصح خبراء الأمن السيبراني باتخاذ إجراءات عاجلة لسد هذه الثغرة، خاصة وأن بروتوكول Telnet يعتبر قديماً وغير آمن مقارنة ببروتوكول SSH. إذا كنت تستخدم الحزم المتأثرة، يجب عليك التحرك فوراً.
تشمل خطوات الحماية والحلول المؤقتة ما يلي:
- تثبيت أحدث التصحيحات الأمنية (Patches) الخاصة بحزمة GNU InetUtils فوراً.
- إيقاف خدمة خادم telnetd نهائياً إذا لم تكن ضرورية (وهو الخيار المفضل).
- تقييد الوصول إلى منفذ Telnet عبر الجدار الناري ليقتصر على عناوين IP موثوقة فقط.
- استخدام أدوات تسجيل دخول مخصصة تمنع استخدام المعامل '-f' كحل مؤقت.
يجب على مديري الأنظمة مراجعة سجلاتهم للتأكد من عدم وجود نشاط مشبوه، والاعتماد دائماً على بروتوكولات مشفرة وآمنة لإدارة الخوادم عن بعد.
