Se ha revelado una grave falla de seguridad en el demonio Telnet GNU InetUtils (telnetd) que pasó desapercibida durante casi 11 años.
Esta vulnerabilidad se rastrea como CVE-2026-24061 y tiene una calificación de 9,8 sobre 10,0 en el sistema de puntuación CVSS. Esto afecta a todas las versiones de GNU InetUtils desde la versión 1.9.3 hasta la versión 2.7.
«Telnetd en GNU Inetutils 2.7 y posteriores permite omitir la autenticación remota a través del valor ‘-f root’ de la variable de entorno USER», según la descripción de la falla en la Base de datos nacional de vulnerabilidades (NVD) del NIST.
En una publicación en la lista de correo de oss-security, el colaborador de GNU, Simon Josefsson, afirmó que esta vulnerabilidad podría explotarse para obtener acceso root al sistema de destino.
El servidor telnetd llama a /usr/bin/login (normalmente se ejecuta como root) y pasa el valor de la variable de entorno USER recibida del cliente como último parámetro.
Cuando un cliente especifica un valor de entorno de USUARIO cuidadosamente elaborado que es la cadena «-f root» y envía este entorno de USUARIO al servidor pasando el parámetro telnet(1) -a o –login, el cliente inicia sesión automáticamente como root, omitiendo el proceso de autenticación normal.
Esto ocurre porque el servidor telnetd no desinfecta la variable de entorno USER antes de pasarla a login(1), y login(1) usa el parámetro -f para omitir la autenticación normal.
Josefsson también señaló que la vulnerabilidad se introdujo como parte de una confirmación del código fuente el 19 de marzo de 2015, lo que finalmente condujo al lanzamiento de la versión 1.9.3 el 12 de mayo de 2015. Al investigador de seguridad Ky Neushwaistein (también conocido como Carlos Cortés Álvarez) se le atribuye el descubrimiento y el informe de la falla el 19 de enero de 2026.
Como mitigación, recomendamos aplicar los parches más recientes y restringir el acceso a la red a los puertos Telnet a clientes confiables. Como solución temporal, los usuarios pueden desactivar el servidor telnetd o hacer que InetUtils telnetd utilice una herramienta de inicio de sesión personalizada(1) que no permite el uso del parámetro «-f», añadió Josefsson.
Según los datos recopilados por la firma de inteligencia sobre amenazas GreyNoise, durante las últimas 24 horas, se han observado 21 direcciones IP únicas que intentan aprovechar esta falla para realizar ataques de elusión de autenticación remota. Todas las direcciones IP procedentes de Hong Kong, Estados Unidos, Japón, Países Bajos, China, Alemania, Singapur y Tailandia están marcadas como maliciosas.
Source link
