Gnu Inetutils

Pesquisadores de cibersegurança revelaram uma falha crítica no daemon Telnet do GNU InetUtils, identificada como CVE-2026-32746, com uma pontuação CVSS de 9.8. Essa vulnerabilidade permite que um atacante remoto não autenticado execute código arbitrário com privilégios elevados, explorando um erro de escrita fora dos limites no manipulador de subopções SLC durante o handshake do protocolo Telnet. A falha afeta todas as versões do serviço Telnet até a versão 2.7 e pode ser acionada simplesmente ao conectar-se à porta 23, sem necessidade de credenciais ou interação do usuário. A empresa israelense Dream, que descobriu a vulnerabilidade, recomenda desativar o serviço se não for necessário, rodar o telnetd sem privilégios de root e bloquear o acesso à porta 23. A correção deve ser disponibilizada até 1º de abril de 2026. Essa vulnerabilidade é particularmente preocupante, pois pode levar a uma completa compromissão do sistema, permitindo ações como instalação de backdoors e exfiltração de dados. A divulgação ocorre pouco tempo após outra falha crítica no mesmo serviço, indicando um padrão preocupante de vulnerabilidades no Telnet.

A Shadowserver, entidade de monitoramento de segurança na internet, identificou quase 800 mil endereços IP com impressões digitais de Telnet, em meio a ataques que exploram uma vulnerabilidade crítica de bypass de autenticação no servidor telnetd do GNU InetUtils. Essa falha de segurança, identificada como CVE-2026-24061, afeta versões do GNU InetUtils de 1.9.3 a 2.7, sendo corrigida na versão 2.8, lançada em 20 de janeiro. A vulnerabilidade permite que um cliente malicioso se conecte ao servidor telnetd e se logue como root, ignorando os processos normais de autenticação, ao enviar um valor específico na variável de ambiente USER. A atividade maliciosa começou logo após a divulgação da vulnerabilidade, com tentativas de exploração detectadas em 21 de janeiro, utilizando 18 endereços IP em 60 sessões Telnet. Embora a maioria dos ataques pareça automatizada, alguns foram realizados por operadores humanos. Administradores de sistemas são aconselhados a desativar o serviço telnetd vulnerável ou bloquear a porta TCP 23 em seus firewalls, caso não consigam atualizar imediatamente seus dispositivos.

Uma campanha coordenada está explorando uma vulnerabilidade crítica no servidor telnetd do GNU InetUtils, que existe há 11 anos. A falha, identificada como CVE-2026-24061, permite que atacantes contornem a autenticação e obtenham acesso root ao sistema. O problema se origina do manuseio inadequado de variáveis de ambiente, especificamente a variável USER, que é passada sem sanitização para o comando de login. Essa vulnerabilidade afeta versões do GNU InetUtils de 1.9.3 a 2.7, sendo corrigida apenas na versão 2.8. Para sistemas que não podem ser atualizados, recomenda-se desativar o serviço telnetd ou bloquear a porta TCP 23. Embora o Telnet seja um protocolo legado e inseguro, ainda é utilizado em muitos sistemas industriais e dispositivos IoT. A atividade de exploração observada foi limitada, mas os sistemas afetados devem ser corrigidos ou reforçados para evitar possíveis ataques futuros.

Uma falha de segurança crítica foi revelada no daemon telnet do GNU InetUtils, afetando todas as versões desde a 1.9.3 até a 2.7. Classificada como CVE-2026-24061, a vulnerabilidade possui uma pontuação de 9.8 no sistema CVSS, indicando seu alto risco. O problema permite que um atacante contorne a autenticação remota ao manipular a variável de ambiente USER com o valor ‘-f root’. Isso resulta em um login automático como root, comprometendo a segurança do sistema. A falha foi introduzida em um commit de código em março de 2015 e descoberta recentemente por um pesquisador de segurança. Nos últimos dias, 21 endereços IP únicos foram identificados tentando explorar essa vulnerabilidade, todos marcados como maliciosos e originários de países como Hong Kong, EUA, Japão e Alemanha. Para mitigar os riscos, recomenda-se aplicar patches atualizados e restringir o acesso à porta telnet apenas a clientes confiáveis. Alternativamente, os usuários podem desativar o servidor telnetd ou utilizar uma ferramenta de login personalizada que não permita o parâmetro ‘-f’.