Az ipari rendszerek Achilles-sarka: a telnetd sebezhetőség
Már 11 éve lappang egy rendkívül súlyos sebezhetőség a GNU InetUtils telnetd rendszerében, amit hackerek nemrég elkezdtek aktívan kihasználni. A biztonsági hibát, amelyet CVE-2026-24061 néven tartanak számon, januárban hozták nyilvánosságra. Könnyen kihasználható: az interneten több működő kódpélda is elérhető.
Egy sebezhetőség, amely túlélte az időt
A telnetd hibája abban rejlik, hogy hibásan kezeli a környezeti változókat. Ha valaki a USER változót -f root értékre állítja, és a telnet -a paranccsal kapcsolódik, kikerüli a hitelesítést, és azonnal root jogosultságot szerez a rendszeren. Ez a rés a 2015-ben megjelent GNU InetUtils 1.9.3-as verziótól a 2.7-es kiadásig létezett, és csak a 2.8-as verzióban javították. Akik nem tudnak frissíteni, jobb, ha azonnal leállítják a telnetd szolgáltatást, vagy legalább a tűzfalon zárolják a TCP 23-as portját.
A telnet örökéletű: ipari rendszerek és régi eszközök
Bár a telnet mára elavult, és helyét többnyire az SSH vette át, a Linux- és Unix-alapú gépek egy részén, főként ipari környezetben, még mindig fut. Ezekben a rendszerekben gyakran évekig vagy akár évtizedekig nem történik frissítés: ezért fordulhat elő, hogy IoT-eszközökön, kamerákban vagy ipari szenzorokban továbbra is üzemel. Ipari vezérlőrendszereknél kockázatos vagy lehetetlen a szoftvercsere, mert az újraindítás leállást okozna.
A való életben néhány támadó máris kihasználta a hibát: január 21–22. között 18 különböző IP-címről indítottak összesen 60 telnetes támadást, amelyek 100%-ban rosszindulatúak voltak. Ezek során minden esetben jogosulatlan roothozzáférést próbáltak szerezni, főként automatizált eszközökkel, de néhol manuális beavatkozás is megfigyelhető volt. A támadók ezután automatizált feltérképezést végeztek, SSH-kulcsokat akartak elhelyezni, vagy Python-alapú kártevőt telepíteni – ezek azonban többnyire sikertelennek bizonyultak a hiányzó szoftverek miatt.
Frissítés vagy leállítás nélkül nagy a baj
Bár a telnetd-sebezhetőség kihasználása egyelőre nem tömeges, minden érintett rendszerre ráfér a mielőbbi frissítés vagy védelem. Ellenkező esetben csak idő kérdése, hogy a támadók tovább tökéletesítsék módszereiket – az ipari rendszerek pedig továbbra is régi eszközeikkel és kiszolgáltatottságukkal tűnnek ki.
Van az úgy, hogy magyarázatból sosem elég – de ha valaki vizuális típus, ezerszer könnyebb felfogni egy bonyolult témát, ha rögtön látod is, miről van szó...
🐒 Jellemző példa erre, hogy az ugandai Kibale Nemzeti Parkban élő vadcsimpánzok hosszú évek óta tartó megfigyelése során most először figyelhették meg a kutatók, ahogy egy korábban egységes közösség kettészakadása halálos konfliktushoz vezetett...
Eljutottunk oda, hogy mostantól klónozhatod magad a YouTube-on – digitálisan. Az új avatar-funkcióval percek alatt teremthetsz egy olyan alteregót, amely pontosan úgy néz ki és beszél, mint te, de cserébe soha többé nem kell beülnöd a kamera elé...
💀 Milyen para már, amikor a Mac-ed hirtelen megáll, pedig csak békésen szöszmötöl az irodában vagy a gardróbban, egy csomó fontos feladattal a háttérben?..
Na hát ennyit erről, hogy az Instagramon minden örök – mostantól visszavonhatod vagy kijavíthatod a kommentjeidet, amelyeket posztok alá írsz, persze csak 15 percen belül...
Nakamoto, SharpLink és Strive nevét most érdemes megjegyezni: ezek a digitális vagyonkezelő cégek a legnagyobb zuhanás után akár a bitcoin ETF-eknél is jobban teljesíthetnek...
Egy fejlett, Lua-alapú, LucidRook nevű kártevő ütötte fel a fejét Tajvanon, amely nonprofit szervezeteket és egyetemeket támad phishing (adathalász) e-mailekkel...
Az égbolt szerelmesei hetek óta készültek arra, hogy idén tavasszal átélhessék a rendkívüli látványt: egy új „napközeli” – vagyis extrém közel a Naphoz suhanó – üstökös tűnt fel, amely akár nappal is látható fényességet ígért...
Ma olyan mérföldkövek sorjáznak, mint a Statute of Anne első szerzői jogi törvénye, a pingpong-diplomácia áttörése, és a szmolenszki légikatasztrófa tragédiája...
Áprilisban igazán izgalmas időszak vár az Xbox Game Pass előfizetőire: díjnyertes folytatások, zseniális új független címek, klasszikusok ráncfelvarrott kiadásai és persze jó néhány addiktív gyöngyszem kerül fel a platformra...
A mesterséges intelligencia fejlesztésének egyik legfőbb kihívása, hogy olyan autonóm ügynökök épüljenek, amelyek képesek alkalmazkodni a környezet változásaihoz anélkül, hogy az alapul szolgáló nagy nyelvi modellt újra kellene tanítani...
💉 Míg az elmúlt években a Lyme-kór egyre komolyabb egészségügyi problémává nőtte ki magát, most új remény villant fel: a Pfizer és a Valneva közös fejlesztése révén egy hatékony vakcina kerülhet a piacra, amely segíthet megfékezni ezt a kullancsok által terjesztett betegséget...
☀️ Úgy tűnik, a Samsung most komolyan fejleszti a Now Brief funkcióját: a kiszivárgott képernyőfotók alapján már nemcsak az aktuális nap időjárását mutatja majd, hanem egy teljes, hétnapos előrejelzést is, részletesen megadva a napi maximumokat és minimumokat, valamint ikonokkal illusztrálva a várható időjárást...
