Se descubrió una vulnerabilidad de seguridad crítica en el demonio telnet de GNU InetUtils (telnetd) que pasó desapercibida durante casi 11 años.
La vulnerabilidad, rastreada como CVE-2026-24061tiene una calificación de 9,8 sobre 10,0 en el sistema de clasificación CVSS. Todas las versiones de GNU InetUtils desde la versión 1.9.3 hasta la versión 2.7 inclusive se ven afectadas.
“Telnetd en GNU Inetutils hasta 2.7 permite omitir la autenticación remota a través de un valor '-f root' para la variable de entorno USER”, dice una descripción de la falla en la Base de Datos Nacional de Vulnerabilidad (NVD) del NIST.
En una publicación en la lista de correo de oss-security, el colaborador de GNU, Simon Josefsson, dijo que la vulnerabilidad se puede explotar para obtener acceso raíz a un sistema de destino.
El servidor Telnetd llama a /usr/bin/login (normalmente se ejecuta como root) y pasa el valor de la variable de entorno USER recibida del cliente como último parámetro.
Si el cliente proporciona un valor de entorno USUARIO (sic) cuidadosamente elaborado que es la cadena “-f root” y pasa el parámetro telnet(1) -a o –login para enviar este entorno USUARIO al servidor, el cliente inicia sesión automáticamente como root, omitiendo los procesos de autenticación normales.
Esto sucede porque el servidor Telnetd no desinfecta la variable de entorno USER antes de pasarla a login(1), y login(1) usa el parámetro -f para omitir la autenticación normal.
Josefsson también señaló que la vulnerabilidad se introdujo como parte de una confirmación del código fuente con fecha del 19 de marzo de 2015, que finalmente se lanzó en la versión 1.9.3 el 12 de mayo de 2015. Al investigador de seguridad Kyu Neushwaistein (también conocido como Carlos Cortés Álvarez) se le atribuye el descubrimiento y el informe de la vulnerabilidad el 19 de enero de 2026.
Como solución alternativa, se recomienda aplicar los parches más recientes y limitar el acceso de red al puerto Telnet a clientes confiables. Como solución temporal, los usuarios pueden desactivar el servidor Telnetd o hacer que InetUtils Telnetd utilice una herramienta de inicio de sesión personalizada(1) que no permite el uso del parámetro “-f”, añadió Josefsson.
Los datos de la firma de inteligencia sobre amenazas GreyNoise muestran que en las últimas 24 horas, se observaron 21 direcciones IP únicas que intentaban llevar a cabo un ataque de elusión de autenticación remota explotando la vulnerabilidad. Todas las direcciones IP procedentes de Hong Kong, EE. UU., Japón, Países Bajos, China, Alemania, Singapur y Tailandia han sido marcadas como maliciosas.
About The Author
