Telnet, il ritorno di un fantasma. Un bug del 2015 sfruttato nel 2026: 800.000 dispositivi a rischio

GNU InetUtils è una raccolta di utilità di rete (tra cui telnet/telnetd, ftp/ftpd, rsh/rshd, ping e traceroute) utilizzate da diverse distribuzioni Linux. Gli strumenti in questione sono in grado di operare per un lungo periodo di tempo senza necessità di aggiornamenti su apparecchiature consolidate e sistemi integrati.

Circa 800.000 indirizzi IP monitorati dagli analisti della Shadowserver Foundation rivelano che una vulnerabilità critica, identificata come CVE-2026-24061, nel componente server telnetd di GNU InetUtils, è stata sfruttata attivamente.

La falla di sicurezza permette ad un attaccante di accedere da remoto con diritti di amministratore al sistema bersaglio, eludendo completamente la procedura di autenticazione. La vulnerabilità, come sottolineato da Simon Josefsson, contributore del progetto GNU, trae origine dal server telnetd che invoca /usr/bin/login – eseguito di solito come root – e trasmette come ultimo parametro il valore della variabile d’ambiente USER, ricevuta dal client.

Quando un utente invia un valore USER personalizzato, ad esempio la stringa “root -f”, insieme ai parametri –a o –login a telnet, si verifica un’autenticazione automatica come root.

Il problema fondamentale risiede nel fatto che il servizio telnetd non inizializza la variabile USER prima di trasmetterla al comando login, il quale a sua volta utilizza l’opzione -f per eludere la procedura di autenticazione standard.

La vulnerabilità CVE-2026-24061 ha ricevuto un punteggio CVSS di 9,8 e riguarda le versioni di GNU InetUtils dalla 1.9.3 (rilasciata nel 2015) alla 2.7. Il problema è stato risolto nella versione 2.8, rilasciata il 20 gennaio 2026. Sorprendentemente, il problema è rimasto inosservato per quasi 11 anni.

Il problema è apparso nel codice il 19 marzo 2015 ed è stato incluso nella versione 1.9.3 rilasciata il 12 maggio 2015. Il 19 gennaio 2026, il bug è stato scoperto da un ricercatore di sicurezza informatica con lo pseudonimo di Kyu Neushwaistein.

Pochi giorni dopo la divulgazione della vulnerabilità CVE-2026-24061, la società di sicurezza GreyNoise ha segnalato di aver rilevato uno sfruttamento limitato di questa vulnerabilità in attacchi reali. L’attività dannosa è iniziata il 21 gennaio (il giorno successivo al rilascio della patch).

In base alle informazioni fornite da GreyNoise, un totale di 21 indirizzi IP unici ha provato ad approfittarsi della vulnerabilità nell’arco delle ultime 24 ore. Diverse nazioni risultano essere alla fonte degli attacchi, tra cui Hong Kong, gli Stati Uniti, il Giappone, i Paesi Bassi, la Cina, la Germania, Singapore e la Thailandia.

Secondo gli esperti, l’attacco ha avuto origine da 18 indirizzi IP distribuiti su 60 sessioni Telnet, sfruttando la negoziazione delle opzioni Telnet IAC per iniettare USER=-f . Questa tattica ha consentito agli hacker di accedere ai dispositivi compromessi senza alcuna autenticazione.

Ai gestori di sistema che hanno difficoltà ad aggiornare tempestivamente alla versione corretta, si suggerisce di disabilitare il servizio vulnerabile telnetd o di bloccare la porta TCP 23 su tutti i firewall.

La Cybersecurity and Infrastructure Security Agency (CISA) ha confermato lo sfruttamento attivo della vulnerabilità CVE-2026-24061, inserendola ufficialmente nel Known Exploited Vulnerabilities (KEV) Catalog.

Secondo CISA, le organizzazioni devono applicare con urgenza le mitigazioni fornite dal vendor o attenersi alle indicazioni del Binding Operational Directive (BOD) 22-01. In assenza di contromisure efficaci, viene raccomandata la dismissione del prodotto. La vulnerabilità è stata aggiunta al KEV Catalog il 26 gennaio 2026, con una scadenza di remediation fissata al 16 febbraio 2026, sottolineando l’elevata priorità del rischio.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Pietro Melillo

Membro e Riferimento del gruppo di Red Hot Cyber Dark Lab, è un ingegnere Informatico specializzato in Cyber Security con una profonda passione per l’Hacking e la tecnologia, attualmente CISO di WURTH Italia, è stato responsabile dei servizi di Cyber Threat Intelligence & Dark Web analysis in IBM, svolge attività di ricerca e docenza su tematiche di Cyber Threat Intelligence presso l’Università del Sannio, come Ph.D, autore di paper scientifici e sviluppo di strumenti a supporto delle attività di cybersecurity. Dirige il Team di CTI "RHC DarkLab"

Aree di competenza: Cyber Threat Intelligence, Ransomware, Sicurezza nazionale, Formazione