Folgen 
Aktualisierung (28. Januar 2026): Dieser Artikel wurde aktualisiert, um ein spezielles Regelwerk zur Erkennung der Ausnutzung von CVE-2026-24061 zu enthalten. Tauchen Sie in die Bedrohungsübersicht ein und greifen Sie auf die aktualisierte Regelsammlung zu, die jetzt 5 Inhalte enthält.
Ein neuer Tag, eine neue Herausforderung für Cyber-Verteidiger. Kurz nach der Offenlegung einer gefährlichen Zero-Day-Schwachstelle in Ciscos Unified Communication Management Produkten (CVE-2026-20045) entdeckten Sicherheitsforscher einen neuartigen Fehler, der 11 Jahre lang unbemerkt blieb. Ein kritisches Authentifizierungsumgehungsproblem (CVE-2026-24061) betrifft den GNU InetUtils Telnet-Daemon (telnetd) und ermöglicht es Angreifern aus der Ferne, ihre Berechtigungen auf Root auf dem betroffenen System zu erhöhen.
Erkennung von Ausnutzungsversuchen von CVE-2026-24061
Forscher des Bedrohungsinformationsunternehmens GreyNoise beobachten, dass über 20 eindeutige IPs in den letzten Tagen versuchten, Authentifizierungsumgehungsangriffe durch Ausnutzung von CVE-2026-24061 durchzuführen.
Registrieren Sie sich für die SOC Prime Plattform, um auf die weltweit größte Echtzeit-Erkennungssammlung zuzugreifen, die von einer umfassenden Produktsuite unterstützt wird, die alles von Erkennung bis Simulation abdeckt. Klicken Sie auf Erkennungen erkunden und vertiefen Sie sich sofort in einen Inhaltsstapel, der sich mit Ausnutzungsversuchen von CVE-2026-24061 befasst.
Für diejenigen, die die vollständige Regel- und Abfrage-Sammlung zur Ausnutzung von Schwachstellen erkunden möchten, steht unsere umfangreiche Bibliothek von Sigma-Regeln mit einem speziellen “CVE” Tag zum Durchsuchen bereit.
Alle Regeln sind mit über 40+ SIEM-, EDR- und Data Lake-Plattformen kompatibel und sind dem MITRE ATT&CK® Rahmenwerk v18.1 zugeordnet. Darüber hinaus enthält jede Regel umfassende Metadaten, einschließlich CTI Referenzen, Angriffsabläufe, Audit-Konfigurationen und mehr.
Sicherheitsfachleute können auch Uncoder AI nutzen, um ihre Erkennungsentwicklung zu optimieren. Generieren Sie Verhaltensregeln aus Rohbedrohungsberichten, validieren Sie Erkennungslogik, visualisieren Sie den Angriffsablauf, konvertieren Sie IOCs in Jagdabfragen oder übersetzen Sie Erkennungscode sofort in mehrere Sprachen – alles an einem Ort.
Analyse von CVE-2026-24061
Eine neu offengelegte einfache Argumenteinfügungs-Schwachstelle im GNU InetUtils telnetd ermöglicht es Bedrohungsakteuren, die Authentifizierung zu umgehen, indem sie den Wert „-f root“ in der USER-Umgebungsvariable verwenden. Folglich könnte ein nicht authentifizierter Angreifer aus der Ferne auf Instanzen zugreifen, die die betroffenen telnetd-Dienste ausführen, und die Berechtigungen auf Root erhöhen. Eine erfolgreiche Ausnutzung könnte es Hackern ermöglichen, auf sensible Daten zuzugreifen, Systemkonfigurationen zu ändern und beliebige Befehle auszuführen, was möglicherweise zu einer vollständigen Systemkompromittierung führt.
Laut der Sicherheitsberatung tritt das Problem auf, weil der telnetd-Dienst /usr/bin/login aufruft, das normalerweise mit Root-Rechten ausgeführt wird, und die vom Client bereitgestellte USER-Umgebungsvariable als Argument ohne ordnungsgemäße Überprüfung übergibt. Durch die Angabe des Werts „-f root“ und die Verwendung der Telnet-Option -a oder --login bewirkt der Angreifer, dass das Login die standardmäßigen Authentifizierungsprüfungen überspringt, was zu einem automatischen Root-Login führt.
Die Schwachstelle wurde durch eine Quellcodeänderung eingeführt, die im März 2015 begangen wurde und erstmals in der GNU InetUtils-Version 1.9.3 auftrat. Die Schwachstelle blieb mehr als 11 Jahre lang unentdeckt und betrifft alle GNU InetUtils-Versionen von Version 1.9.3 bis einschließlich Version 2.7.
Benutzer, die noch telnetd verwenden, sollten das Upgrade so schnell wie möglich installieren. Um die Risiken zu mindern, raten Sicherheitsexperten, den Zugriff auf den Telnet-Port auf vertrauenswürdige Clients zu beschränken. Als vorübergehende Maßnahmen können Benutzer auch den telnetd-Server vollständig deaktivieren oder ihn so konfigurieren, dass ein benutzerdefiniertes login-Dienstprogramm verwendet wird, das den Parameter -f blockiert und so unbefugte Root-Logins verhindert.
Um immer einen Schritt voraus zu sein bei neuen Bedrohungen, verlassen Sie sich auf die AI-Native Detection Intelligence Plattform von SOC Prime, die SOC-Teams mit modernsten Technologien für Bedrohungserkennung und -suche ausstattet.
