米国のサイバーセキュリティ機関CISAは月曜日、既知の悪用された脆弱性(KEV)カタログに5件の欠陥を追加し、その中にはLinuxのバグ2件が含まれる。
最初のLinuxの問題はCVE-2026-24061(CVSSスコア9.8)で、GNU Inetutilsに存在する重大度クリティカルの欠陥であり、先週の公開開示から数日以内に悪用された。
これはGNU telnetdサービスにおける認証回避で、login関数に渡す前にUSER環境変数をサニタイズしていない。
USER環境変数は認証に使用するユーザー名を事前入力するために使われるが、攻撃者はTelnetプロトコルを介してこれを制御できるため、認証を回避するための「-f」フラグを供給できる。
SafeBreachの説明によれば、攻撃者は細工したTelnetコマンドを送信してUSER変数を設定し、認証を回避してrootシェルを取得することで、脆弱なシステム上でリモートコード実行(RCE)を獲得できる。
CVE-2026-24061は2015年5月にリリースされたGNU Inetutilsバージョン1.9.3で導入され、2025年12月に展開されたバージョン2.7まで(同版を含む)のすべての反復版に影響する。
1月20日の欠陥の公開開示から数日以内に、GreyNoiseは18の固有の攻撃元から60件の悪用試行を確認したと報告した。攻撃には偵察、SSHによる永続化、マルウェアの展開が含まれていた。
SafeBreachが指摘するように、20万台超のシステムでTelnetサービスがインターネットに公開されている(Censysによれば100万台超)が、脆弱なのはGNU telnetdサービスを使用しているものに限られる。
今週KEVカタログに追加された2つ目のLinuxの問題はCVE-2018-14634(CVSSスコア7.8)で、カーネルにおける整数オーバーフローの脆弱性であり、特権バイナリにアクセスできる攻撃者が権限をrootへ昇格できる可能性がある。
この脆弱性を発見して報告したQualysは、攻撃要件の都合上、少なくとも32GBのRAMを搭載したシステムで悪用が可能だと2018年9月に述べた。
CISAの警告以前に、CVE-2018-14634が実環境で悪用されたという報告はないようだ。
月曜日、CISAはまた、先週悪用が報告されたKEVカタログにSmarterMailのバグ2件と、Microsoft Officeのゼロデイを追加し、連邦機関に対して2月16日までに5件すべてのバグに対処するよう促した。
翻訳元: https://www.securityweek.com/organizations-warned-of-exploited-linux-vulnerabilities/
