Peretas Eksploitasi Celah Kritis Telnetd untuk Mendapatkan Akses Root
Kampanye serangan terkoordinasi terpantau mengeksploitasi kerentanan kritis pada server telnetd milik GNU InetUtils, memungkinkan penyerang memperoleh akses root tanpa autentikasi. Celah keamanan ini tercatat sebagai CVE-2026-24061 dan baru dipublikasikan pada 20 Januari 2026, meski diketahui telah tersembunyi selama lebih dari satu dekade.
Kerentanan ini berasal dari cara telnetd menangani variabel lingkungan saat memanggil proses login sistem. Komponen telnetd diketahui meneruskan variabel lingkungan USER yang dapat dikendalikan pengguna langsung ke proses login tanpa proses sanitasi. Dengan memanipulasi nilai USER menjadi parameter tertentu dan melakukan koneksi telnet dengan opsi autentikasi otomatis, penyerang dapat melewati proses login sepenuhnya dan langsung mendapatkan hak akses root.
Celah ini memengaruhi GNU InetUtils versi 1.9.3 yang dirilis pada 2015 hingga versi 2.7. Perbaikan resmi baru tersedia pada rilis versi 2.8. Bagi sistem yang belum dapat melakukan pembaruan, mitigasi sementara yang disarankan meliputi menonaktifkan layanan telnetd atau memblokir akses ke port TCP 23 melalui firewall.
GNU InetUtils sendiri merupakan kumpulan utilitas jaringan klasik yang masih digunakan di berbagai distribusi Linux dan Unix. Di dalamnya termasuk layanan seperti telnet, ftp, rsh, ping, dan traceroute. Meskipun Telnet telah lama dianggap usang dan tidak aman dibandingkan protokol modern seperti SSH, layanan ini masih banyak ditemukan di sistem lama dan lingkungan industri karena kesederhanaan dan kebutuhan kompatibilitas.
Di sektor industri, khususnya pada sistem Operational Technology dan Industrial Control Systems, perangkat sering kali beroperasi tanpa pembaruan selama bertahun-tahun. Penggantian atau peningkatan sistem kerap sulit dilakukan karena membutuhkan proses reboot atau berisiko mengganggu operasional. Kondisi ini membuat Telnet masih digunakan pada perangkat IoT, kamera pengawas, sensor industri, hingga sistem tertanam lainnya.
Pemantauan ancaman mengonfirmasi bahwa eksploitasi CVE-2026-24061 telah terjadi di dunia nyata. Aktivitas serangan terdeteksi berasal dari sejumlah alamat IP unik yang menjalankan sesi Telnet berbahaya dalam periode singkat. Sebagian besar serangan menargetkan akun root dan dilakukan secara otomatis, meskipun beberapa indikasi menunjukkan adanya interaksi manual dari pelaku.
Dalam fase pasca-eksploitasi, penyerang mencoba melakukan pengintaian otomatis, menanam kunci SSH untuk mempertahankan akses, serta menyebarkan malware berbasis Python. Upaya tersebut dilaporkan gagal pada beberapa sistem akibat keterbatasan lingkungan, seperti tidak tersedianya binary atau direktori tertentu.
Walaupun skala serangan yang teramati masih terbatas dan jumlah sistem Telnet yang terekspos ke internet relatif kecil, keberadaan celah ini tetap dianggap berbahaya. Kerentanan yang memungkinkan bypass autentikasi dan akses root secara langsung berpotensi menimbulkan dampak serius, terutama pada sistem lama yang belum dikelola dengan standar keamanan modern.
Administrator dan pengelola sistem disarankan untuk segera memperbarui GNU InetUtils ke versi terbaru atau menerapkan langkah pengamanan tambahan. Sistem yang masih mengandalkan Telnet sebaiknya dievaluasi kembali, mengingat risiko keamanan yang semakin meningkat seiring dengan maraknya eksploitasi otomatis di internet.
