Suivre 
Un nouveau jour, un nouveau défi pour les défenseurs cyber. Juste après la divulgation d’une vulnérabilité zero-day vicieuse dans les produits de gestion de la communication unifiée de Cisco (CVE-2026-20045), les chercheurs en sécurité ont repéré un bug inédit qui était passé inaperçu pendant 11 ans. Un problème critique de contournement d’authentification (CVE-2026-24061) affecte le démon telnet de GNU InetUtils (telnetd), permettant aux attaquants distants d’élever leurs privilèges au niveau root sur le système affecté.
Notamment, les chercheurs de l’entreprise de veille sur les menaces GreyNoise observaient que plus de 20 IPs uniques ont tenté de procéder à des attaques de contournement d’authentification en exploitant CVE-2026-24061 au cours du dernier jour.
Inscrivez-vous sur la plateforme SOC Prime pour accéder à la plus grande collection de renseignement en détection en temps réel, soutenue par une gamme complète de produits couvrant tout de la détection à la simulation. Cliquez Explorer les Détections pour accéder à un ensemble de règles étendu pour la détection d’exploitation de vulnérabilités, pré-filtré à l’aide de la balise CVE personnalisée.
Toutes les règles sont compatibles avec plus de 40 plateformes SIEM, EDR, et Data Lake et sont mappées au cadre MITRE ATT&CK® version 18.1. De plus, chaque règle est accompagnée de métadonnées étendues, y compris CTI références, flux d’attaque, configurations d’audit et plus.
Les professionnels de la sécurité peuvent aussi tirer parti de Uncoder AI pour rationaliser leurs efforts en ingénierie de détection. Générez des règles de comportement à partir de rapports de menace bruts, validez la logique de détection, visualisez le flux d’attaque, convertissez les IOCs en requêtes de chasse, ou traduisez instantanément le code de détection dans plusieurs langues – tout en un seul endroit.
Analyse de CVE-2026-24061
Une vulnérabilité d’injection d’argument simple récemment divulguée dans le telnetd de GNU InetUtils permet aux acteurs de la menace de contourner l’authentification en utilisant la valeur « -f root » dans la variable d’environnement USER. En conséquence, un attaquant à distance non authentifié pourrait accéder aux instances exécutant les services telnetd affectés et élever les privilèges au niveau root. Une exploitation réussie peut permettre aux hackers d’accéder à des données sensibles, de modifier les configurations système et d’exécuter des commandes arbitraires, ce qui pourrait conduire à un compromis complet du système.
Selon le avis de sécurité, le problème survient parce que le service telnetd invoque /usr/bin/login, qui s’exécute généralement avec des privilèges root, et transmet la variable d’environnement USER fournie par le client comme argument sans une bonne sanitation. En fournissant la valeur « -f root » et en utilisant l’option telnet -a or --login , l’attaquant fait en sorte que la connexion passe outre les vérifications d’authentification standard, ce qui entraîne une connexion root automatique.
La vulnérabilité a été introduite par un changement de code source commis en mars 2015 et est apparue pour la première fois dans la version 1.9.3 de GNU InetUtils. Resté non détecté pendant plus de 11 ans, le défaut affecte toutes les versions des GNU InetUtils de la version 1.9.3 à la version 2.7, inclus.
Les utilisateurs exécutant encore telnetd devraient installer la mise à jour dès que possible. Pour atténuer les risques, les experts en sécurité conseillent de restreindre l’accès au port telnet uniquement aux clients de confiance. Comme mesures temporaires, les utilisateurs peuvent également désactiver entièrement le serveur telnetd ou le configurer pour utiliser une utilitaire de connexion personnalisé qui bloque le -f paramètre, empêchant les connexions root non autorisées.
De plus, pour toujours garder une longueur d’avance sur les menaces émergentes, fiez-vous à la Plateforme d’Intelligence de Détection IA-Native de SOC Prime, qui équipe les équipes SOC des technologies de pointe pour la détection et la chasse aux menaces.
