Suivre 
Mise à jour (28 janvier 2026) : Cet article a été mis à jour pour inclure un ensemble de règles de détection dédié à l’exploitation de CVE-2026-24061. Plongez dans la vue d’ensemble de la menace et accédez à la collection de règles mise à jour, qui contient maintenant 5 éléments de contenu.
Un nouveau jour, un nouveau défi pour les défenseurs du cyberespace. Juste après la divulgation d’une vulnérabilité zero-day pernicieuse dans les produits de gestion de communication unifiée de Cisco (CVE-2026-20045), des chercheurs en sécurité ont repéré un nouveau bug qui était passé inaperçu pendant 11 ans. Un problème d’authentification critique (CVE-2026-24061) affecte le démon telnet de GNU InetUtils (telnetd), permettant aux attaquants distants d’élever leurs privilèges au niveau root sur le système affecté.
Détecter les tentatives d’exploitation de CVE-2026-24061
Les chercheurs de la société de renseignement sur les menaces GreyNoise observent que plus de 20 IP uniques ont tenté de procéder à des attaques de contournement d’authentification en exploitant CVE-2026-24061 au cours de la dernière journée.
Inscrivez-vous sur la plateforme SOC Prime pour accéder à la plus grande collection d’intelligence de détection en temps réel au monde, soutenue par une suite de produits complète allant de la détection à la simulation. Cliquez sur Explorer les Détections et accédez immédiatement à une pile de contenu traitant des tentatives d’exploitation de CVE-2026-24061.
Pour ceux qui souhaitent explorer l’ensemble complet des règles et requêtes liées à l’exploitation de vulnérabilités, notre vaste bibliothèque de règles Sigma est disponible avec un tag dédié “CVE”.
Toutes les règles sont compatibles avec plus de 40 plateformes SIEM, EDR et Data Lake et sont mappées au framework MITRE ATT&CK® v18.1. De plus, chaque règle est accompagnée de métadonnées étendues, y compris des références CTI, des flux d’attaque, des configurations d’audit, et plus encore.
Les professionnels de la sécurité peuvent également tirer parti de Uncoder AI pour simplifier leurs efforts d’ingénierie de détection. Générez des règles de comportement à partir de rapports de menaces bruts, validez la logique de détection, visualisez le Flux d’Attaque, convertissez des IOCs en requêtes de chasse, ou traduisez instantanément du code de détection dans plusieurs langues – le tout en un seul endroit.
Analyse de CVE-2026-24061
Une nouvelle vulnérabilité d’injection d’argument simple dévoilée dans le telnetd de GNU InetUtils permet aux acteurs malveillants de contourner l’authentification en utilisant la valeur “-f root” dans la variable d’environnement USER. En conséquence, un attaquant distant non authentifié pourrait accéder à des instances exécutant les services telnetd affectés et élever ses privilèges au niveau root. Une exploitation réussie peut permettre aux pirates d’accéder à des données sensibles, de modifier les configurations système et d’exécuter des commandes arbitraires, pouvant potentiellement mener à une compromission complète du système.
Selon le avis de sécurité, le problème se produit parce que le service telnetd invoque /usr/bin/login, qui fonctionne généralement avec des privilèges root, et passe la variable d’environnement USER fournie par le client comme argument sans assainissement approprié. En fournissant la valeur “-f root” et en utilisant l’option telnet -a ou --login, l’attaquant force le login à ignorer les vérifications d’authentification standard, entraînant un login root automatique.
La vulnérabilité a été introduite par un changement de code source commis en mars 2015 et est apparue pour la première fois dans la version 1.9.3 de GNU InetUtils. Restée indétectée pendant plus de 11 ans, la faille affecte toutes les versions de GNU InetUtils de la version 1.9.3 jusqu’à la version 2.7 incluse.
Les utilisateurs exécutant encore telnetd devraient installer la mise à jour dès que possible. Pour atténuer les risques, les experts en sécurité conseillent de restreindre l’accès au port telnet uniquement aux clients de confiance. Comme mesures temporaires, les utilisateurs peuvent également désactiver entièrement le serveur telnetd ou le configurer pour utiliser un utilitaire login personnalisé qui bloque le paramètre -f, empêchant les logins root non autorisés.
De plus, pour rester toujours en avance sur les menaces émergentes, fiez-vous à la plateforme d’intelligence de détection native de l’IA de SOC Prime, qui équipe les équipes SOC avec des technologies de pointe pour la détection et la chasse aux menaces.
