GNU InetUtils è una raccolta di utilità di rete (tra cui telnet/telnetd, ftp/ftpd, rsh/rshd, ping e traceroute) utilizzate da diverse distribuzioni Linux. Gli strumenti in questione sono in grado di operare per un lungo periodo di tempo senza necessità di aggiornamenti su apparecchiature consolidate e sistemi integrati.
Circa 800.000 indirizzi IP monitorati dagli analisti della Shadowserver Foundation rivelano che una vulnerabilità critica, identificata come CVE-2026-24061, nel componente server telnetd di GNU InetUtils, è stata sfruttata attivamente.
La falla di sicurezza permette ad un attaccante di accedere da remoto con diritti di amministratore al sistema bersaglio, eludendo completamente la procedura di autenticazione. La vulnerabilità, come sottolineato da Simon Josefsson, contributore del progetto GNU, trae origine dal server telnetd che invoca /usr/bin/login – eseguito di solito come root – e trasmette come ultimo parametro il valore della variabile d’ambiente USER, ricevuta dal client.
Quando un utente invia un valore USER personalizzato, ad esempio la stringa “root -f”, insieme ai parametri –a o –login a telnet, si verifica un’autenticazione automatica come root.
Il problema fondamentale risiede nel fatto che il servizio telnetd non inizializza la variabile USER prima di trasmetterla al comando login, il quale a sua volta utilizza l’opzione -f per eludere la procedura di autenticazione standard.
La vulnerabilità CVE-2026-24061 ha ricevuto un punteggio CVSS di 9,8 e riguarda le versioni di GNU InetUtils dalla 1.9.3 (rilasciata nel 2015) alla 2.7. Il problema è stato risolto nella versione 2.8, rilasciata il 20 gennaio 2026. Sorprendentemente, il problema è rimasto inosservato per quasi 11 anni.
Il problema è apparso nel codice il 19 marzo 2015 ed è stato incluso nella versione 1.9.3 rilasciata il 12 maggio 2015. Il 19 gennaio 2026, il bug è stato scoperto da un ricercatore di sicurezza informatica con lo pseudonimo di Kyu Neushwaistein.
Pochi giorni dopo la divulgazione della vulnerabilità CVE-2026-24061, la società di sicurezza GreyNoise ha segnalato di aver rilevato uno sfruttamento limitato di questa vulnerabilità in attacchi reali. L’attività dannosa è iniziata il 21 gennaio (il giorno successivo al rilascio della patch).
In base alle informazioni fornite da GreyNoise, un totale di 21 indirizzi IP unici ha provato ad approfittarsi della vulnerabilità nell’arco delle ultime 24 ore. Diverse nazioni risultano essere alla fonte degli attacchi, tra cui Hong Kong, gli Stati Uniti, il Giappone, i Paesi Bassi, la Cina, la Germania, Singapore e la Thailandia.
Secondo gli esperti, l’attacco ha avuto origine da 18 indirizzi IP distribuiti su 60 sessioni Telnet, sfruttando la negoziazione delle opzioni Telnet IAC per iniettare USER=-f
Ai gestori di sistema che hanno difficoltà ad aggiornare tempestivamente alla versione corretta, si suggerisce di disabilitare il servizio vulnerabile telnetd o di bloccare la porta TCP 23 su tutti i firewall.
Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
Cyber News
Cyberpolitica
Cultura
Diritti
Vulnerabilità