Se ha revelado una
falla de seguridad crítica en el demonio telnet
de GNU InetUtils (telnetd)
que pasó desapercibida durante casi 11 años.
La vulnerabilidad, identificada como
CVE-2026-24061
(CVSS 9,8), afecta a todas las versiones de GNU InetUtils desde la versión
1.9.3 hasta la versión 2.7 inclusive.
«Telnetd en GNU Inetutils hasta 2.7 permite omitir la autenticación remota
a través de un valor ‘-f root’ para la variable de entorno USER», según una descripción de la falla en la Base de Datos Nacional de
Vulnerabilidad (NVD) del NIST.
En una publicación en la
lista de correo de OSS-Security, el colaborador de GNU, Simon Josefsson, dijo que la vulnerabilidad se puede
explotar para obtener acceso raíz a un sistema de destino.
El servidor telnetd invoca /usr/bin/login (normalmente
ejecutándose como root) pasando el valor de la variable de entorno USER
recibida del cliente como último parámetro. Si el cliente proporciona [sic] un
valor de entorno de USER cuidadosamente elaborado que es la cadena
«-f root» y pasa el parámetro telnet(1) -a o –login para enviar
este entorno de USER al servidor, el cliente iniciará sesión automáticamente
como root sin pasar por los procesos de autenticación normales.
Esto sucede porque el servidor telnetd no sanitiza la variable de
entorno USER antes de pasarla a login(1) y usa el parámetro
-f para evitar la autenticación normal.
Josefsson también señaló que la vulnerabilidad se introdujo como parte de una
commit del código
fuente realizada el 19 de marzo de 2015, que finalmente llegó a la
versión 1.9.3 el 12 de mayo de 2015. Al investigador de seguridad Kyu
Neushwaistein (también conocido como Carlos Cortés Álvarez) se le atribuye el
descubrimiento y el informe de la falla el 19 de enero de 2026.
Como mitigación, se recomienda aplicar los parches más recientes y
restringir el acceso a la red al puerto telnet a clientes confiables.
Como solución temporal, los usuarios pueden desactivar el servidor
telnetd o hacer que InetUtils telnetd utilice una herramienta de
inicio de sesión personalizada que no permita el uso del parámetro
‘-f’, añadió Josefsson.
Los datos recopilados por la firma de inteligencia de amenazas GreyNoise
muestran que se han observado
21 direcciones IP únicas
intentando ejecutar un ataque de elusión de autenticación remota aprovechando
la falla durante las últimas 24 horas. Todas las direcciones IP, que
se originan
en Hong Kong, EE.UU., Japón, Países Bajos, China, Alemania, Singapur y
Tailandia, han sido marcadas como maliciosas.
Fuente:
THN