Alerta: vulnerabilidad crítica en GNU InetUtils telnetd permite root remoto con bypass de autenticación
Vulnerabilidad crítica en GNU InetUtils telnetd: un fallo recién divulgado en el daemon telnetd de GNU InetUtils facilita a un atacante obtener acceso remoto como root mediante un bypass de autenticación. La debilidad está registrada como CVE-2026-24061 con puntuación 9.8 (crítica) y, según investigadores, su explotación es “trivial”, un factor que eleva el riesgo operativo para cualquier infraestructura que aún mantenga servicios Telnet activos.
El problema no es nuevo: se introdujo en una actualización de mayo de 2015 y habría permanecido sin detectarse cerca de 11 años. En un contexto en el que Telnet es un protocolo históricamente desaconsejado por su ausencia de cifrado, la existencia de un vector tan directo hacia privilegios máximos vuelve a poner el foco en los “legacy services” expuestos a Internet.
Vulnerabilidad crítica en GNU InetUtils telnetd: qué permite CVE-2026-24061
La Vulnerabilidad crítica en GNU InetUtils telnetd se describe como un fallo de inyección de argumentos asociado al modo en que telnetd invoca /usr/bin/login (normalmente ejecutándose como root). En el advisory de seguridad, el mantenedor explica que telnetd pasa al proceso de login el valor de la variable de entorno USER recibida desde el cliente.
El escenario de abuso se produce cuando un cliente suministra un valor manipulado para USER y fuerza su envío al servidor utilizando parámetros del cliente Telnet, logrando que el flujo de autenticación sea eludido. En la práctica, la cadena indicada en el advisory permite que la sesión termine autenticada como root sin atravesar el proceso normal de verificación de credenciales.
Por qué preocupa a los equipos de seguridad
Investigadores de Rapid7 señalan que, al tratarse de una inyección de argumentos, los intentos de explotación tienden a ser más fiables que otras clases de vulnerabilidades más complejas (por ejemplo, memory corruption). Rapid7 Labs indica que ha verificado el impacto: explotación sencilla y resultado equivalente a control total del sistema afectado.
A esto se añade un problema estructural: Telnet no cifra tráfico ni credenciales, lo que facilita interceptación de sesiones mediante sniffing en redes donde exista capacidad de observación del tráfico. En otras palabras, incluso sin CVE-2026-24061, mantener Telnet en producción ya supone una degradación significativa del nivel de seguridad.
Explotación en curso: señales en Internet
La Vulnerabilidad crítica en GNU InetUtils telnetd ya aparece en telemetría pública. Datos compartidos por GreyNoise muestran actividad reciente asociada a intentos de bypass remoto, con múltiples direcciones IP únicas probando el vector de ataque durante las últimas 24 horas en el momento de la publicación original.
Aunque el número de intentos observados no mide por sí mismo el alcance real de compromisos, sí suele ser un indicador temprano de automatización y escaneo a escala, especialmente cuando la explotación es directa y el servicio objetivo (telnetd) está expuesto en un puerto bien conocido.
Recomendaciones oficiales: parchear o retirar telnetd
La recomendación que se repite entre investigadores y organismos nacionales es clara: actualizar a una versión corregida y, en la medida de lo posible, retirar telnetd. CERT-FR ha advertido de que existen “muchos” servicios Telnet accesibles desde Internet, algo contrario a buenas prácticas, y recomienda desmantelar los servicios Telnet. Autoridades de ciberseguridad en Canadá y Bélgica han publicado avisos similares, reforzando la urgencia de reducir superficie de ataque y evitar exposición pública del servicio.
En el plano técnico, el advisory insiste en limitar el acceso a clientes de confianza y restringir la exposición del puerto Telnet. En la industria, el reemplazo típico para administración remota es SSH, que aporta cifrado y controles modernos alineados con los estándares de hardening actuales.
Fuentes y enlaces de referencia
- Advisory en oss-sec sobre CVE-2026-24061
- Telemetría pública de GreyNoise sobre intentos de explotación
- Aviso de CERT-FR sobre servicios Telnet expuestos
Con explotación ya detectada y un impacto que desemboca en privilegios de root, la Vulnerabilidad crítica en GNU InetUtils telnetd se convierte en una prioridad inmediata para equipos de respuesta a incidentes y administradores de sistemas: cualquier instancia de telnetd activa, especialmente si está accesible desde Internet, pasa a ser un objetivo de alto valor.
