Se ha revelado una falla de seguridad crítica en el demonio telnet GNU InetUtils (telnetd) que pasó desapercibido durante casi 11 años.
La vulnerabilidad, rastreada como CVE-2026-24061tiene una calificación de 9,8 sobre 10,0 en el sistema de puntuación CVSS. Afecta a todas las versiones de GNU InetUtils desde la versión 1.9.3 hasta la versión 2.7 inclusive.
«Telnetd en GNU Inetutils hasta 2.7 permite omitir la autenticación remota a través de un valor '-f root' para la variable de entorno USER», según una descripción de la falla en la Base de Datos Nacional de Vulnerabilidad (NVD) del NIST.
en un correo En la lista de correo de oss-security, el colaborador de GNU, Simon Josefsson, dijo que la vulnerabilidad se puede explotar para obtener acceso raíz a un sistema de destino.
El servidor telnetd invoca /usr/bin/login (normalmente ejecutándose como root) pasando el valor de la variable de entorno USER recibida del cliente como último parámetro.
Si el cliente suministra [sic] siendo un valor de entorno USUARIO cuidadosamente elaborado la cadena «-f root» y pasa el parámetro telnet(1) -a o –login para enviar este entorno USUARIO al servidor, el cliente iniciará sesión automáticamente como root sin pasar por los procesos de autenticación normales.
Esto sucede porque el servidor telnetd no [sic] no desinfecta la variable de entorno USER antes de pasarla a login(1), y login(1) usa el parámetro -f para evitar la autenticación normal.
Josefsson también señaló que la vulnerabilidad se introdujo como parte de un confirmación del código fuente realizado el 19 de marzo de 2015, que finalmente llegó a la versión 1.9.3 el 12 de mayo de 2015. Al investigador de seguridad Kyu Neushwaistein (también conocido como Carlos Cortés Álvarez) se le atribuye el descubrimiento y el informe de la falla el 19 de enero de 2026.
Como mitigación, se recomienda aplicar los parches más recientes y restringir el acceso a la red al puerto telnet a clientes confiables. Como solución temporal, los usuarios pueden desactivar el servidor telnetd o hacer que InetUtils telnetd utilice una herramienta de inicio de sesión personalizada(1) que no permita el uso del parámetro '-f', añadió Josefsson.
Los datos recopilados por la empresa de inteligencia sobre amenazas GreyNoise muestran que 21 direcciones IP únicas Se han observado intentos de ejecutar un ataque de omisión de autenticación remota aprovechando la falla durante las últimas 24 horas. Todas las direcciones IP, que originar de Hong Kong, Estados Unidos, Japón, Países Bajos, China, Alemania, Singapur y Tailandia han sido señalados como maliciosos.
Fuente