Se ha divulgado una vulnerabilidad crítica en el daemon telnet de GNU InetUtils (telnetd) que pasó desapercibida durante casi 11 años. La falla, identificada como CVE-2026-24061, tiene una calificación de 9.8 sobre 10.0 en el sistema de puntuación CVSS, lo que indica una severidad máxima. Afecta a todas las versiones de GNU InetUtils desde la 1.9.3 hasta la 2.7 inclusive.
Telnetd in GNU Inetutils through 2.7 allows remote authentication bypass via a '-f root' value for the USER environment variable, según la descripción de la falla en la Base de Datos Nacional de Vulnerabilidades (NVD) del NIST.
En una publicación en la lista de correo oss-security, el colaborador de GNU Simon Josefsson explicó que la vulnerabilidad puede explotarse para obtener acceso root a un sistema objetivo. El servidor telnetd invoca a /usr/bin/login (que normalmente se ejecuta como root) pasando el valor de la variable de entorno USER recibida del cliente como último parámetro. Si el cliente proporciona un valor USER cuidadosamente manipulado que sea la cadena "-f root" y envía este valor a través del parámetro telnet(1) -a o --login, el cliente iniciará sesión automáticamente como root, eludiendo los procesos normales de autenticación. Esto ocurre porque el servidor telnetd no sanitiza la variable de entorno USER antes de pasarla a login(1), y login(1) utiliza el parámetro -f para omitir la autenticación normal.
Josefsson también señaló que la vulnerabilidad se introdujo como parte de una confirmación de código fuente realizada el 19 de marzo de 2015, que finalmente llegó a la versión 1.9.3 publicada el 12 de mayo de 2015. El investigador de seguridad Kyu Neushwaistein (también conocido como Carlos Cortes Alvarez) ha sido acreditado por descubrir y reportar la falla el 19 de enero de 2026.
Mitigación y Explotación Activa
Como medidas de mitigación, se recomienda aplicar los parches más recientes y restringir el acceso de red al puerto telnet solo a clientes confiables. Como soluciones temporales, los usuarios pueden deshabilitar el servidor telnetd o hacer que el telnetd de InetUtils utilice una herramienta login(1) personalizada que no permita el uso del parámetro '-f', según agregó Josefsson.
Datos recopilados por la firma de inteligencia de amenazas GreyNoise muestran que 21 direcciones IP únicas han sido observadas intentando ejecutar un ataque de omisión de autenticación remota aprovechando la falla en las últimas 24 horas. Todas las direcciones IP, que se originan en Hong Kong, Estados Unidos, Japón, Países Bajos, China, Alemania, Singapur y Tailandia, han sido marcadas como maliciosas. La compañía indicó que el análisis de las sesiones combinadas revela una campaña de explotación coordinada dirigida a servicios Telnet (TCP/23) utilizando la vulnerabilidad de omisión de autenticación telnetd -f de Inetutils. Las actividades posteriores a la explotación incluyen reconocimiento del sistema, persistencia mediante claves SSH e intentos de implementación de malware.
Actualización
El 26 de enero de 2026, la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) añadió CVE-2026-24061 a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV), requiriendo que las agencias de la Rama Ejecutiva Civil Federal (FCEB) apliquen los parches antes del 16 de febrero de 2026.
