Uma falha crítica de segurança foi descoberta no telnet daemon (telnetd) do GNU InetUtils, permanecendo despercebida por quase 11 anos.
A vulnerabilidade, identificada como
CVE-2026-24061
, recebeu uma pontuação alta, 9,8 de 10,0, no sistema CVSS, indicando seu potencial severo.
O problema afeta todas as versões do GNU InetUtils, da 1.9.3 até a 2.7, inclusive.
Segundo o banco de dados de vulnerabilidades do NIST (NVD), o telnetd do GNU InetUtils até a versão 2.7 permite que hackers façam bypass da autenticação remota ao manipular a variável de ambiente USER com o valor “-f root”.
Em uma postagem na lista de discussão oss-security, o colaborador do projeto GNU, Simon Josefsson, explicou que a vulnerabilidade pode ser explorada para obter acesso root ao sistema alvo.
Isso ocorre porque o servidor telnetd chama o programa /usr/bin/login (que geralmente roda com privilégios de root), transmitindo o valor da variável USER recebida do cliente como último parâmetro.
Se o cliente enviar uma variável USER cuidadosamente montada com a string "-f root" e usar a opção telnet(1) -a ou --login para encaminhá-la ao servidor, será automaticamente autenticado como root, burlando o processo normal de autenticação.
O ponto fraco está na falta de sanitização da variável USER antes de ser repassada ao login(1), que interpreta o parâmetro "-f" como um comando para ignorar a autenticação convencional.
Josefsson também revelou que essa vulnerabilidade foi introduzida em uma alteração do código-fonte realizada em 19 de março de 2015, presente a partir da versão 1.9.3, lançada em 12 de maio daquele ano.
O pesquisador de segurança Kyu Neushwaistein (também conhecido como Carlos Cortes Alvarez) é creditado pela descoberta e pelo reporte da falha em 19 de janeiro de 2026.
Como medidas de mitigação, recomenda-se atualizar imediatamente para as versões mais recentes com patch aplicado e restringir o acesso ao serviço telnet na rede apenas a clientes confiáveis.
Como soluções temporárias, os usuários podem desativar o servidor telnetd ou configurar o InetUtils para usar uma ferramenta customizada de login(1) que bloqueie o uso do parâmetro “-f”, explicou Josefsson.
Dados coletados pela empresa de inteligência em ameaças GreyNoise indicam que, nas últimas 24 horas, 21 endereços IP únicos tentaram explorar essa brecha para realizar ataques de bypass remoto.
Esses endereços, originários de países como Hong Kong, Estados Unidos, Japão, Holanda, China, Alemanha, Singapura e Tailândia, já foram identificados como maliciosos.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...