26 Gennaio 2026 12:55    Alert

GNU Inetutils, sfruttata in rete la falla critica CVE-2026-24061 su telnetd

Rilevato sfruttamento attivo in rete della vulnerabilità CVE-2026-24061, una falla critica (CVSS 9.8) nel demone telnetd della suite GNU Inetutils, classificata come Authentication Bypass. Il bug interessa le versioni dalla 1.9.3 alla 2.7 e consente a un attaccante remoto non autenticato di ottenere accesso con privilegi di root, aggirando completamente i meccanismi di autenticazione.

La vulnerabilità nasce dalla mancata sanificazione della variabile d’ambiente USER, che il servizio telnetd passa al comando di login del sistema. Inviando come USER una stringa costruita ad hoc, ad esempio “-f root”, l’attaccante induce il processo di login a interpretare il valore come opzione per forzare l’accesso senza password, ottenendo immediatamente una shell di amministratore. Il problema è riconducibile a una forma di argument injection (CWE-88) e rende estremamente banale lo sfruttamento, richiedendo solo la raggiungibilità di telnetd sulla porta 23/TCP.

Diversi osservatori di sicurezza hanno confermato attività di scanning e tentativi di exploit nel mondo reale, con proof-of-concept pubblici disponibili e campagne automatizzate che cercano sistemi esposti. Secondo alcune analisi, la falla sarebbe presente da oltre 11 anni nel codice di Inetutils, sollevando dubbi sulla possibile compromissione pregressa di sistemi che utilizzano ancora Telnet per l’accesso remoto. L’impatto potenziale include furto di credenziali (ad esempio dai file di sistema), installazione di backdoor persistenti, movimento laterale e pieno controllo dei server coinvolti.

Le raccomandazioni convergono su alcune misure urgenti:

  • aggiornare immediatamente GNU Inetutils a una versione corretta o applicare le patch distribuite dalle principali distribuzioni Linux;
  • disabilitare il servizio telnetd ove non strettamente necessario; sostituire Telnet con protocolli cifrati come SSH;
  • limitare l’esposizione della porta 23 tramite firewall e segmentazione di rete.
  • Per gli ambienti critici, viene suggerita anche una verifica dei log di autenticazione e dei sistemi di monitoraggio alla ricerca di accessi root anomali via Telnet e indicatori di compromissione associati alla manipolazione della variabile USER.

Fonti: ACN, Orca Security, GitHub