Интересная новость обнаружилась на сайте журнала «Хакер». 11 лет подряд в инструменте Telnet существовала критическая уязвимость, с помощью которой можно было практически бесплатно получить доступ к удалённой операционной системе, в которой есть инструмент Telnet.
Информация об уязвимости была опубликована в базе данных NIST в 21-ый день января месяца 2026 года под номером CVE-2026-24061. Уязвимость появилась в далёком 2015 году после обновления Telnet до версии 1.9.3 и просуществовала вплоть до версии 2.7. Ошибка получила уровень «серьёзности» в 9.8 баллов – то есть, это уже не Critical, а скорее – Fatal или «катастрофа». Исправление катастрофы появилось только в версии 2.8 инструмента Telnet, которая была выпущена 20 января 2026 года.
На протяжении 11 лет (!) уязвимость позволяла обходить механизм аутентификации в Telnet с помощью простой подмены значения переменной USER вместе со специальным аргументом “-f root”.
Аналитики рассказали, что они наблюдают примерно 800 000 активных IP адресов в сети Интернет, имеющих «фингерпринты» Telnet. Таким образом, несмотря на свою древность и опасность, этот протокол до сих пор, в 2026 году, используется во многих приборах, напрямую подключённых к сети Интернет.
И учитывая факт того, что в большинстве своём эти приборы – сетевые маршрутизаторы и концентраторы – кто-то сможет использовать этот «баг» для взлома огромного количества компьютерных сетей.
Резюмируя эту новость, хочется сказать «спасибо» (сарказм) всем тем, кто писал утилиты GNU InetUtils. Судя по описанию бага, вы, оказывается, не проверяете входящие данные, такие как имя пользователя, а просто подсовываете «сырой» текст в систему. Такое вопиющее недоразумение не может быть просто ошибкой. Подобные ошибки делаются либо очень глупыми «первоклассниками», либо это было намеренным вредительством.