(https://i.imgur.com/qtLMqxJ.jpeg)
Investigadores de seguridad han identificado una campaña coordinada de explotación activa dirigida contra una vulnerabilidad de gravedad crítica recientemente revelada en el servidor telnetd de GNU InetUtils, un fallo que ha permanecido oculto en el código durante más de 11 años. El problema de seguridad, registrado como CVE-2026-24061, permite a un atacante remoto evadir completamente la autenticación y obtener acceso root en sistemas vulnerables.
La vulnerabilidad fue reportada públicamente el 20 de enero de 2026 y, según los expertos, resulta trivial de explotar, con múltiples pruebas de concepto y exploits funcionales disponibles de forma pública. Aunque Telnet es un servicio heredado y considerado inseguro, su persistencia en sistemas antiguos, dispositivos embebidos y entornos industriales ha convertido este fallo en una amenaza real.
Un fallo crítico oculto desde 2015El investigador y colaborador de código abierto Simon Josefsson explicó que el componente telnetd de GNU InetUtils contiene una vulnerabilidad de evasión de autenticación remota provocada por un manejo incorrecto de variables de entorno al invocar el binario /usr/bin/login.
El problema se origina porque telnetd pasa la variable de entorno USER, controlada completamente por el usuario remoto, directamente a login(1) sin ningún tipo de sanitización o validación. Esta omisión permite a un atacante manipular el proceso de autenticación de forma directa.
Al establecer la variable de entorno como USER=-f root y conectarse utilizando el comando telnet -a, el atacante puede forzar el acceso como usuario root sin proporcionar credenciales, saltándose por completo los mecanismos de autenticación tradicionales del sistema.
Versiones afectadas y parche disponibleEl fallo afecta a todas las versiones de GNU InetUtils desde la 1.9.3, lanzada en 2015, hasta la versión 2.7. El problema fue finalmente corregido en GNU InetUtils 2.8, que introduce la sanitización adecuada de las variables de entorno antes de llamar al proceso de login.
Para los administradores de sistemas que no pueden actualizar inmediatamente, las recomendaciones de mitigación incluyen:
- Desactivar completamente el servicio telnetd
- Bloquear el puerto TCP 23 en todos los cortafuegos perimetrales y locales
- Limitar el acceso mediante listas de control estrictas
- Auditar sistemas heredados y dispositivos embebidos
GNU InetUtils y la persistencia de TelnetGNU InetUtils es un conjunto histórico de herramientas cliente y servidor de red mantenido por el Proyecto GNU, que incluye utilidades como telnet, telnetd, ftp, ftpd, rsh, ping y traceroute. Estas herramientas siguen presentes en numerosas distribuciones Linux y Unix por motivos de compatibilidad.
Aunque Telnet ha sido reemplazado en gran medida por SSH debido a su falta de cifrado y autenticación segura, todavía se utiliza en entornos especializados, especialmente en el sector industrial y en redes de Tecnología Operativa (OT), donde prima la simplicidad, el bajo consumo de recursos y la compatibilidad con hardware antiguo.
En muchos dispositivos heredados e integrados, el software puede permanecer sin actualizaciones durante más de una década, lo que explica la presencia continua de telnetd en dispositivos IoT, cámaras IP, sensores industriales y controladores industriales.
Un usuario técnico confirmó públicamente que sigue utilizando Telnet "para conectarse a dispositivos Cisco antiguos que ya han alcanzado el final de su vida útil, donde incluso SSH deja de ser viable".
¿Por qué se consideró inicialmente menos crítica?A pesar de su impacto técnico, algunos investigadores calificaron inicialmente CVE-2026-24061 como una vulnerabilidad de menor riesgo debido a que son relativamente pocos los sistemas expuestos a Telnet en Internet público. Sin embargo, esta percepción ha cambiado tras la confirmación de explotación real en entornos activos.
Explotación detectada en la naturalezaLa empresa de monitorización de amenazas GreyNoise confirmó haber detectado actividad maliciosa real explotando CVE-2026-24061 contra un número reducido de objetivos vulnerables.
Según su informe, la actividad fue observada entre el 21 y el 22 de enero, originándose desde 18 direcciones IP únicas en 60 sesiones Telnet, todas ellas clasificadas como 100 % maliciosas. Durante los ataques se enviaron 1.525 paquetes, con un volumen total de 101,6 KB de datos.
Los atacantes abusaron de la negociación de opciones IAC (Interpret As Command) de Telnet para inyectar valores como USER=-f <usuario>, lo que permitió obtener acceso a la shell sin autenticación. En el 83,3 % de los casos, el objetivo era directamente el usuario root.
GreyNoise indicó que la mayoría de la actividad parecía automatizada, aunque se identificaron algunos casos de "humano en teclado", evidenciados por variaciones en la velocidad del terminal, tipos de sesión y valores de la variable DISPLAY de X11.
Post-explotación y riesgos futurosTras lograr el acceso inicial, los atacantes llevaron a cabo reconocimiento automatizado, intentaron persistir claves SSH y desplegar malware en Python. En los sistemas monitorizados, estos intentos no tuvieron éxito debido a la ausencia de binarios o directorios necesarios.
No obstante, los expertos advierten que, aunque la campaña actual es limitada en alcance, los atacantes podrían optimizar rápidamente sus cadenas de explotación, especialmente si identifican entornos industriales o dispositivos embebidos con configuraciones estándar.
En fin...Todos los sistemas potencialmente afectados por CVE-2026-24061 deben ser parcheados de inmediato o protegidos mediante controles compensatorios. La combinación de servicios heredados, software sin actualizar y exploits públicos convierte esta vulnerabilidad en un riesgo latente, especialmente en infraestructuras críticas.
Este incidente refuerza una lección clave en ciberseguridad: el software heredado no desaparece, y las vulnerabilidades latentes pueden convertirse en amenazas reales incluso más de una década después.
Fuente: https://www.bleepingcomputer.com/