Se ha revelado una equivocación de seguridad crítica en el demonio telnet de GNU InetUtils (telnetd) que pasó desapercibida durante casi 11 primaveras.
La vulnerabilidad, rastreada como CVE-2026-24061tiene una calificación de 9,8 sobre 10,0 en el sistema de puntuación CVSS. Afecta a todas las versiones de GNU InetUtils desde la interpretación 1.9.3 hasta la interpretación 2.7 inclusive.
“Telnetd en GNU Inetutils hasta 2.7 permite olvidar la autenticación remota a través de un valencia ‘-f root’ para la variable de entorno USER”, según una descripción de la equivocación en la Saco de Datos Franquista de Vulnerabilidad (NVD) del NIST.
En una publicación en la índice de correo de oss-security, el colaborador de GNU, Simon Josefsson, dijo que la vulnerabilidad se puede explotar para obtener ataque raíz a un sistema de destino.
El servidor telnetd invoca /usr/bin/login (normalmente ejecutándose como root) pasando el valencia de la variable de entorno USER recibida del cliente como posterior parámetro.
Si el cliente proporciona (sic) un valencia de entorno de USUARIO cuidadosamente minucioso que es la condena “-f root” y pasa el parámetro telnet(1) -a o –login para despachar este entorno de USUARIO al servidor, el cliente iniciará sesión automáticamente como root sin suceder por los procesos de autenticación normales.
Esto sucede porque el servidor telnetd (sic) no desinfecta la variable de entorno USER antaño de pasarla a login(1), y login(1) usa el parámetro -f para evitar la autenticación regular.
Josefsson incluso señaló que la vulnerabilidad se introdujo como parte de una confirmación del código fuente realizada el 19 de marzo de 2015, que finalmente llegó a la interpretación 1.9.3 el 12 de mayo de 2015. Al investigador de seguridad Kyu Neushwaistein (incluso conocido como Carlos Cortés Álvarez) se le atribuye el descubrimiento y el documentación de la equivocación el 19 de enero de 2026.
Como mitigación, se recomienda aplicar los parches más recientes y restringir el ataque a la red al puerto telnet a clientes confiables. Como decisión temporal, los usuarios pueden desactivar el servidor telnetd o hacer que InetUtils telnetd utilice una útil de inicio de sesión personalizada(1) que no permita el uso del parámetro ‘-f’, añadió Josefsson.
Los datos recopilados por la firma de inteligencia de amenazas GreyNoise muestran que se han observado 21 direcciones IP únicas intentando ejecutar un ataque de elusión de autenticación remota aprovechando la equivocación durante las últimas 24 horas. Todas las direcciones IP, que se originan en Hong Kong, EE. UU., Japón, Países Bajos, China, Alemania, Singapur y Tailandia, han sido marcadas como maliciosas.
