Se ha descubierto una vulnerabilidad crítica de evasión de autenticación remota (CVE-2026-24061, CVSS 9.8) en el servicio telnetd de GNU InetUtils, que afecta a todas las versiones desde la 1.9.3 hasta la 2.7. El fallo permite a atacantes no autentificados obtener instantáneamente acceso root en los sistemas afectados aprovechando un manejo inadecuado de la variable de entorno USER. El problema no se detectó durante casi 11 años y ahora está siendo investigado activamente por agentes malintencionados.
Repercusiones
Gravedad: Crítico (CVSS 9.8)
Una explotación exitosa resulta en:
- Acceso total a nivel de raíz
- Acceso remoto no autenticado
- No se requiere interacción del usuario
- Pérdida total de confidencialidad, integridad y disponibilidad.
Los sistemas que ejecutan telnetd y están expuestos a redes no confiables corren un alto riesgo inmediato. La inseguridad inherente de telnet agrava la gravedad.
Detalles técnicos
Mecanismo de vulnerabilidad:
- El servidor telnetd pasa la variable de entorno USER proporcionada por el cliente directamente a /usr/bin/login sin desinfección.
- Un atacante puede establecer USER='-f root' y utilizar la opción Telnet -a o --login para reenviar este valor al servidor.
- El programa de inicio de sesión interpreta -f root como un bypass de inicio de sesión de confianza, concediendo acceso inmediato al shell root sin autenticación.
Causa raíz:
- Introducido en un commit de código el 19 de marzo de 2015 y enviado en GNU InetUtils 1.9.3 (12 de mayo de 2015).
- La vulnerabilidad se origina por una incorrecta sanitización de argumentos y expansión de variables en la ruta de código de telnetd (telnetd/telnetd.c y funciones de utilidad relacionadas).
Versiones afectadas:
- GNU InetUtils telnetd versiones 1.9.3 a 2.7.
- Presente en muchas distribuciones Linux/UNIX o dispositivos que incluyen Telnet para uso heredado.
Actividad de amenazas y explotación:
- Los informes de inteligencia de amenazas indican 21 direcciones IP maliciosas únicas que intentan activamente explotar el fallo en un periodo de 24 horas.
- Proceden de varias regiones, como Hong Kong, Estados Unidos, Japón, Países Bajos, China, Alemania, Singapur y Tailandia.
- Demuestra los primeros intentos de exploración y explotación oportunista en Internet.
- El código de explotación público (PoC) ya está disponible en GitHub, lo que aumenta la probabilidad de una explotación masiva.
Indicadores de compromiso (IoC) -
Actividad observada del atacante:
- Conexiones Telnet maliciosas con USER='-f root'.
- Sesiones Telnet utilizando la bandera -a o --login para reenviar variables de entorno.
- Inicios de sesión root inesperados sin eventos de autenticación PAM o de pista de auditoría.
Indicadores de red:
- Tráfico Telnet entrante sospechoso (TCP/23) desde:
- Hong Kong, EE.UU., Japón, Países Bajos, China, Alemania, Singapur, Tailandia.
Mitigación y recomendaciones
Desactivar telnetd
- Se recomienda encarecidamente siempre que sea posible.
- Sustitúyalo por SSH u otro método de acceso remoto seguro.
Restringir el acceso a Telnet
- Limite el acceso únicamente a direcciones IP de confianza.
- Aplique reglas de cortafuegos o segmentación de red.
Parche / Actualización
- Aplique los parches disponibles de GNU InetUtils o actualice a versiones posteriores a la 2.7 una vez que las distribuciones las hayan publicado por completo.
Soluciones temporales
- Utilice un /usr/bin/login personalizado que rechace el parámetro -f.
- Mitigue las vulnerabilidades de inyección de argumentos saneando las entradas en scripts/servicios derivados.
Si le preocupa alguna de las amenazas descritas en este boletín o necesita ayuda para determinar qué medidas debe tomar para protegerse de las amenazas más importantes a las que se enfrenta su organización, póngase en contacto con su gestor de cuentas o, alternativamente, póngase en contacto para averiguar cómo puede proteger su organización.