È stata scoperta una vulnerabilità critica di bypass dell'autenticazione remota (CVE-2026-24061, CVSS 9.8) nel servizio telnetd di GNU InetUtils, che interessa tutte le versioni dalla 1.9.3 alla 2.7. La falla consente agli aggressori non autenticati di ottenere immediatamente l'accesso root sui sistemi interessati sfruttando una gestione impropria della variabile d'ambiente USER. La falla consente ad aggressori non autorizzati di ottenere istantaneamente l'accesso root sui sistemi interessati sfruttando una gestione impropria della variabile d'ambiente USER. Il problema è rimasto inosservato per quasi 11 anni e ora viene attivamente sondato da attori malintenzionati.
Impatto -
Gravità: Critico (CVSS 9.8)
Uno sfruttamento riuscito porta a:
- compromissione completa del livello di root
- Accesso remoto non autenticato
- Non è richiesta l'interazione dell'utente
- Perdita completa di riservatezza, integrità e disponibilità.
I sistemi che eseguono telnetd e sono esposti a reti non affidabili sono immediatamente ad alto rischio. L'insicurezza intrinseca di Telnet ne aumenta la gravità.
Dettagli tecnici -
Meccanismo di vulnerabilità:
- Il server telnetd passa la variabile d'ambiente USER fornita dal cliente direttamente a /usr/bin/login senza sanitizzazione.
- Un utente malintenzionato può impostare USER='-f root' e utilizzare l'opzione Telnet -a o --login per inoltrare questo valore al server.
- Il programma di login interpreta -f root come un bypass di login attendibile, garantendo l'accesso immediato alla shell di root senza autenticazione.
Causa principale:
- Introdotta in un commit di codice il 19 marzo 2015 e distribuita in GNU InetUtils 1.9.3 (12 maggio 2015).
- La vulnerabilità ha origine da una sanitizzazione impropria degli argomenti e dall'espansione delle variabili nel percorso del codice di telnetd (telnetd/telnetd.c e funzioni di utilità correlate).
Versioni interessate:
- GNU InetUtils telnetd nelle versioni da 1.9.3 a 2.7.
- Presente in molte distribuzioni o dispositivi Linux/UNIX che forniscono Telnet per uso tradizionale.
Attività e sfruttamento delle minacce:
- I rapporti di intelligence sulle minacce indicano 21 indirizzi IP maligni unici che tentano attivamente di sfruttare la falla nell'arco di 24 ore.
- Questi provengono da diverse regioni, tra cui Hong Kong, Stati Uniti, Giappone, Paesi Bassi, Cina, Germania, Singapore e Tailandia.
- Dimostra la scansione in fase iniziale e i tentativi di sfruttamento opportunistico su Internet.
- Il codice di exploit pubblico (PoC) è già disponibile su GitHub, il che aumenta la probabilità di uno sfruttamento di massa.
Indicatori di compromissione (IoC)
Attività dell'attaccante osservata:
- Connessioni Telnet dannose con USER='-f root'.
- Sessioni Telnet che utilizzano il flag -a o --login per inoltrare variabili d'ambiente.
- Accessi root inaspettati senza eventi di autenticazione PAM o audit trail.
Indicatori di rete:
- Traffico Telnet in entrata sospetto (TCP/23) da:
- Hong Kong, Stati Uniti, Giappone, Paesi Bassi, Cina, Germania, Singapore, Thailandia.
Mitigazione e raccomandazioni
Disabilitare telnetd
- Si raccomanda vivamente di disabilitare telnetd ogni volta che è possibile.
- Sostituire con SSH o un altro metodo di accesso remoto sicuro.
Limitare l'accesso a Telnet
- Limitare l'accesso solo agli indirizzi IP affidabili.
- Applicare regole di firewall o di segmentazione della rete.
Patch / Aggiornamento
- Applicate le patch di GNU InetUtils disponibili o aggiornate alle versioni successive alla 2.7 una volta pubblicate dalle distribuzioni.
Soluzioni temporanee
- Utilizzate un /usr/bin/login personalizzato che rifiuti il parametro -f.
- Mitigare le vulnerabilità di iniezione di argomenti sanificando gli input negli script/servizi derivati.
Se siete preoccupati per una qualsiasi delle minacce descritte in questo bollettino o se avete bisogno di aiuto per determinare le misure da adottare per proteggervi dalle minacce più importanti per la vostra organizzazione, contattate il vostro account manager o, in alternativa, mettetevi in contatto per scoprire come potete proteggere la vostra organizzazione.