V lednu 2026 udeřila bomba do světa kyberbezpečnosti. Vyšlo najevo, že daemon Telnet (telnetd) v balíku GNU InetUtils obsahuje brutální chybu – CVE‑2026‑24061. Tahle chyba dovolí útočníkovi dostat se na systém s root oprávněním bez jediného hesla. Na stupnici CVSS má 9.8 z 10, a když se podíváš, jak jednoduše se zneužívá, není se čemu divit.
Zranitelnost přežívala v kódu samotného GNU InetUtils téměř jedenáct let, a právě to umožnilo nové generaci botnetů, jako je Kimwolf, rozšířit se do milionů zařízení po světě.
Jak funguje CVE‑2026‑24061
Krátká technická verze: Telnet daemon dosazuje proměnnou USER nekontrolovaně přímo do příkazu, který spouští login program.
Když útočník použije:
USER=-f root
Telnet sestaví:
/usr/bin/login -p -h <IP> -f root
A protože login běží s root právy, je shell okamžitě otevřený bez hesla. Je to argument injection – nešvar zvaný CWE‑88.
Proč je CVE‑2026‑24061 tak nebezpečná?
| Metrika | Hodnota | Co to znamená |
|---|---|---|
| Attack Vector | Network | Útok přes síť |
| Attack Complexity | Low | Žádné speciální podmínky |
| Privileges Required | None | Útočník nemusí mít účet |
| User Interaction | None | Není potřeba nic od uživatele |
| Confidentiality | High | Útočník čte všechna data |
| Integrity | High | Mění cokoliv v systému |
| Availability | High | Může systém smazat |
Proto skóre 9.8 není žádné přehánění.
Kde je chyba přítomná
Zranitelnost zasahuje GNU InetUtils od verze 1.9.3 až do 2.7. Mnoho Linux distribucí jej obsahuje i dnes. I když Telnet nebývá aktivní ve výchozím nastavení, embedded zařízení (routery, set‑top boxy, tiskárny, IoT) ho často ponechávají zapnutý.
| Distribuce | Stav | Opravená verze |
|---|---|---|
| GNU InetUtils | Zranitelná | 2.7‑2fd702c02 |
| Debian 11 | Zranitelná | DLA‑4453‑1 |
| Debian 12 | Zranitelná | DSA‑6106‑1 |
| Debian 13 | Zranitelná | DSA‑6106‑1 |
| Debian Sid | Opraveno | 2:2.7‑2 |
| SUSE / openSUSE | Neovlivněno | jiný Telnet daemon |
Kimwolf: Nová vlna botnetů
Botnet Kimwolf se zrodil z této chyby a šíří se raketově. Nejde jen o náhodný malware – tenhle botnet ví, kde hledat, co hledat a jak se šířit dál bez nutnosti hesel.
Kimwolf:
- používá rezidenční proxy (např. IPIDEA),
- infiltruje lokální sítě bez přímého skenování z internetu,
- instaluje rootkity a perzistentní payloady,
- pokračuje v nákaze jako červ.
Nejčastější cíle: Android TV boxy, digitální fotorámečky, VoIP routery, firemní tiskárny.
Jak VPN pomáhá jako bezpečnostní vrstva
Patchovat co nejdřív je jasná priorita, ale samotné opravy nestačí. VPN dokáže výrazně snížit pravděpodobnost průniku i skenování externími botnety, a tak je moje osobní doporučení, které sám používám ve všech sítích, kde spravuju zařízení a servery.
1. VPN blokuje skenování portů
Botnety jako Kimwolf spoléhají na volný port 23 (Telnet) nebo ADB porty. Pokud tyto porty nejsou přístupné z internetu, útočník se k nim ani nedostane.
Co používám pro tuhle úroveň ochrany:
- NordVPN – silná ochrana proti port scanningu, NAT firewall a Threat Protection, což znamená, že porty se zvenčí nevidí vůbec.
- ProtonVPN – transparentní open‑source klient a vysoká úroveň filtrací provozu.
Díky tomu se skenování externími botnety dostane na úroveň “neviditelné brány domů”.
2. VPN pro bezpečný remote access
Když potřebuji spravovat síť zvenčí, nikdy nepoužívám Telnet. Místo toho:
- Zapnu VPN, připojím se do firemní sítě,
- Použiju SSH přes VPN,
- Nikdy nedotýkám veřejného Telnet portu.
Co používám:
- Surfshark – umožňuje split tunneling a dedikovanou síť pro administrační zařízení.
- NordVPN / NordLayer – pro firemní segmenty, kde chci kontrolovat přístup jednotlivých uživatelů.
Tímto přístupem se přihlašování, správa serverů a IoT zařízení stává bezpečná i mimo datové centrum.
3. VPN segmentuje IoT a legacy zařízení
Nechci, aby moje chytré zařízení byly ve stejné síti jako pracovní počítače. Proto:
- Dám IoT a legacy zařízení za samostatné VPN segmenty,
- Zavřu přístup k portům Telnet/ADB skrz hlavní síť,
- Používám VLAN a VPN mesh (např. Surfshark Nexus) pro izolaci.
Tím se dá výrazně snížit potenciál laterálního pohybu útočníka po síti.
Srovnání Mirai vs. Kimwolf
| Vlastnost | Mirai (2016) | Kimwolf / CVE‑2026‑24061 |
|---|---|---|
| Vektor útoku | Brutální Telnet hesla | Autentizační bypass |
| Složitost | Střední | Velmi nízká |
| Detekce | Relativně snadná | Těžká |
| Cíl | CCTV, DVR | Jakýkoliv Unix device |
| Perzistence | Do restartu | Rootkit + změny systému |
Kimwolf vyhrává na celé čáře, protože hesla jsou irelevantní. Stačí díra v loginu.
Dopady na průmyslové systémy
Telnet stále běží v legacy OT/ICS prostředích – SCADA, výrobní linky, lékařské přístroje nebo energetická zařízení. Patchování je často nemožné kvůli stabilitě. Zde může VPN:
- začít izolovat zařízení,
- umožnit bezpečný přístup pro kontrolu,
- a eliminovat externí skenování.
Zařízení, která mohou být ovlivněna:
- Siemens RUGGEDCOM,
- Rockwell Automation CompactLogix,
- Schneider EcoStruxure,
- Cisco starší platformy.
Jak se bránit? Krok za krokem
- Aplikuj opravy okamžitě (GNU InetUtils 2.7-2+).
- Vypni Telnet tam, kde to jde.
- Používej VPN pro přístup do sítě a administraci.
- Segmentuj sít IoT/legacy zařízení.
- Monitoruj síť – IDS/IPS, detekce anomálií, bad traffic patterns.
Závěr
CVE‑2026‑24061 je důkazem, jak může jeden řádek kódu zůstat neodhalen dlouhé roky a otevřít dveře pro globální botnetovou epidemii. V kombinaci s nástupem sofistikovaných architektur, jako je Kimwolf, je jasné, že tradiční perimeter nemá šanci.
Použití VPN jako bezpečnostní vrstvy, izolace zařízení, segmentace sítě a důkladné patchování dnes nejsou luxus. Jsou to minimum, které od profesionální správy sítí očekávám já i většina bezpečnostních expertů.
