Az ipari rendszerek Achilles-sarka: a telnetd sebezhetőség
Már 11 éve lappang egy rendkívül súlyos sebezhetőség a GNU InetUtils telnetd rendszerében, amit hackerek nemrég elkezdtek aktívan kihasználni. A biztonsági hibát, amelyet CVE-2026-24061 néven tartanak számon, januárban hozták nyilvánosságra. Könnyen kihasználható: az interneten több működő kódpélda is elérhető.
Egy sebezhetőség, amely túlélte az időt
A telnetd hibája abban rejlik, hogy hibásan kezeli a környezeti változókat. Ha valaki a USER változót -f root értékre állítja, és a telnet -a paranccsal kapcsolódik, kikerüli a hitelesítést, és azonnal root jogosultságot szerez a rendszeren. Ez a rés a 2015-ben megjelent GNU InetUtils 1.9.3-as verziótól a 2.7-es kiadásig létezett, és csak a 2.8-as verzióban javították. Akik nem tudnak frissíteni, jobb, ha azonnal leállítják a telnetd szolgáltatást, vagy legalább a tűzfalon zárolják a TCP 23-as portját.
A telnet örökéletű: ipari rendszerek és régi eszközök
Bár a telnet mára elavult, és helyét többnyire az SSH vette át, a Linux- és Unix-alapú gépek egy részén, főként ipari környezetben, még mindig fut. Ezekben a rendszerekben gyakran évekig vagy akár évtizedekig nem történik frissítés: ezért fordulhat elő, hogy IoT-eszközökön, kamerákban vagy ipari szenzorokban továbbra is üzemel. Ipari vezérlőrendszereknél kockázatos vagy lehetetlen a szoftvercsere, mert az újraindítás leállást okozna.
A való életben néhány támadó máris kihasználta a hibát: január 21–22. között 18 különböző IP-címről indítottak összesen 60 telnetes támadást, amelyek 100%-ban rosszindulatúak voltak. Ezek során minden esetben jogosulatlan roothozzáférést próbáltak szerezni, főként automatizált eszközökkel, de néhol manuális beavatkozás is megfigyelhető volt. A támadók ezután automatizált feltérképezést végeztek, SSH-kulcsokat akartak elhelyezni, vagy Python-alapú kártevőt telepíteni – ezek azonban többnyire sikertelennek bizonyultak a hiányzó szoftverek miatt.
Frissítés vagy leállítás nélkül nagy a baj
Bár a telnetd-sebezhetőség kihasználása egyelőre nem tömeges, minden érintett rendszerre ráfér a mielőbbi frissítés vagy védelem. Ellenkező esetben csak idő kérdése, hogy a támadók tovább tökéletesítsék módszereiket – az ipari rendszerek pedig továbbra is régi eszközeikkel és kiszolgáltatottságukkal tűnnek ki.
2025, adrienne, www.bleepingcomputer.com alapján
filózó
Te hogyan védenéd meg a régi rendszereket a hackerektől?
Mit csinálnál, ha nem lehetne frissíteni egy ilyen sérülékeny szoftvert?
🔬 A Cornell Egyetem kutatói új típusú, mikroszkopikus szilícium-dioxid nanorészecskéket fejlesztettek ki, amelyek képesek közvetlenül elpusztítani a prosztatarákos daganatokat, miközben egyidejűleg aktiválják a szervezet immunrendszerét is a rák elleni harcra...
💡 Grok 4.5 bemutatkozott, és jelentősen egyszerűsíti a bonyolult feladatok elvégzését. Kódírás, táblázatok és prezentációk készítése most egyetlen munkafolyamatba sűríthető anélkül, hogy újra és újra át kellene írni az utasításokat...
Több mint száz évvel Einstein elméletének megszületése után az asztrofizikusok ismét igazolták a nagy fizikus forradalmi gondolatát: a Föld valóban maga után húzza a téridőt, miközben kering a Nap körül...
A Samsung bemutatta első PCIe 6.0 szabványú üzleti SSD-jét, a PM1763-at, amelyet kifejezetten MI- és nagy teljesítményű számítógépes szerverekhez fejlesztettek...
💸 A Luxshare Precision Industry tőzsdei premierje csalódást okozott Hongkongban: a részvényárfolyam több mint 5 százalékot esett csütörtök reggel, annak ellenére, hogy a városban az idei év legnagyobb elsődleges nyilvános részvénykibocsátását (IPO) bonyolította le...
Újabb fordulóponthoz érkezett az MI-alapú hangkommunikáció: az OpenAI bemutatta a GPT-Live nevű megoldását, amely minden eddiginél természetesebb, párbeszédszerű beszélgetést tesz lehetővé a ChatGPT-vel...
Fizetős iOS appok és játékok, amik ingyenesek a mai napon. Stack zero (iPhone/iPad)A Stack Zero alkalmazás beépített, Apple által támogatott dokumentum-szkennerével a papíralapú iratok digitalizálása rendkívül egyszerű és gyors...
🔎 A legutóbbi kiberbiztonsági vizsgálatok szerint veszélybe kerültek az amerikai és kanadai egyetemek kutatói: ismeretlen támadók gyenge pontokat fedeztek fel a Roundcube-levelezőszervereken, és ezt kihasználva fizikusokat, mérnököket, adminisztrátorokat, illetve asztrofizikával, részecskefizikával vagy nemzetbiztonsággal foglalkozó intézményeket is megcéloztak...
Otthon a tévézés már régen nem a magánszféráról szól. Az okostévék folyamatosan figyelik, mit nézel, majd ezt az adatot eladják más cégeknek, vagy éppen azért jelennek meg ugyanazok a hirdetések a telefonodon, a weben vagy a tévéden, amit előzőleg valamelyik online áruházban kerestél...
🔬 A Harvard Egyetem kutatói forradalmasítják a biotechnológiát: egy szilíciumchip már nemcsak információt dolgoz fel, hanem képes DNS-t is létrehozni...
💡 Régóta húzódó rejtély oldódott meg a kvantumfizika világában. Egy új elméleti keretrendszer először egyesíti két, egymásnak látszólag ellentmondó modellt arról, hogy miként viselkedik egy különösen szokatlan részecske a zsúfolt kvantumkörnyezetben...
Viharos nap a történelemben: pusztító földrengés Japánban, nagyhatalmi fordulatok Európában, mérföldkő a rabszolgaság felszámolásában, és modern kori sorsfordulók Dél-Szudán függetlenné válásáig...
Külön említést érdemel, hogy egy nemzetközi kutatócsoport forradalmi szimulációt dolgozott ki, amely mesterséges intelligenciát használ fel annak feltérképezésére, hogyan keletkeznek az univerzum legnehezebb elemei...
Ki gondolta volna, hogy az egyik legnépszerűbb sporttáplálék-kiegészítő nemcsak a testépítők kedvence lehet, hanem a rákkutatás egyik izgalmas eszközévé is válhat?..
Az OpenAI július 9-én világszerte elérhetővé teszi a GPT-5.6 három változatát, Solt, Lunát és Terrát, alig néhány héttel azt követően, hogy csak egy szűk kör kapott próbalehetőséget...
Általában nincs is jobb annál, mint egy hosszú, fárasztó nap után bedőlni az ágyba, előkapni a távirányítót, és megnézni az egyik kedvenc sorozatodat...
Az Apple bejelentette, hogy újabb többéves megállapodást kötött a Broadcommal, melynek célja, hogy egy sor Apple-termékekhez készült, egyedi szilíciumchipek és korszerű vezeték nélküli kommunikációs technológiák az Egyesült Államokban készüljenek...
Egy lényeges szempont, hogy miközben világszerte egyre több kormány és nagybank fogadja el a blokklánc-technológiát, India továbbra is ragaszkodik a kriptovaluták elleni kemény fellépéshez...