Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
GNU InetUtils è una raccolta di utilità di rete (tra cui telnet/telnetd, ftp/ftpd, rsh/rshd, ping e traceroute) utilizzate da diverse distribuzioni Linux. Gli strumenti in questione sono in grado di operare per un lungo periodo di tempo senza necessità di aggiornamenti su apparecchiature consolidate e sistemi integrati.
Circa 800.000 indirizzi IP monitorati dagli analisti della Shadowserver Foundation rivelano che una vulnerabilità critica, identificata come CVE-2026-24061, nel componente server telnetd di GNU InetUtils, è stata sfruttata attivamente.
 Cybersecurity Awareness efficace? Scopri BETTI RHC! Sei un'azienda innovativa, che crede nella diffusione di concetti attraverso metodi "non convenzionali"? Red hot cyber ha sviluppato da diversi anni una Graphic Novel (giunta al sesto episodio), l'unica nel suo genere nel mondo, che consente di formare i dipendenti sulla sicurezza informatica attraverso la lettura di un fumetto. Contattaci tramite WhatsApp al numero 375 593 1011 per saperne di più e richiedere informazioni oppure alla casella di posta graphicnovel@redhotcyber.com
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
La falla di sicurezza permette ad un attaccante di accedere da remoto con diritti di amministratore al sistema bersaglio, eludendo completamente la procedura di autenticazione. La vulnerabilità, come sottolineato da Simon Josefsson, contributore del progetto GNU, trae origine dal server telnetd che invoca /usr/bin/login – eseguito di solito come root – e trasmette come ultimo parametro il valore della variabile d’ambiente USER, ricevuta dal client.
Quando un utente invia un valore USER personalizzato, ad esempio la stringa “root -f”, insieme ai parametri –a o –login a telnet, si verifica un’autenticazione automatica come root.
Il problema fondamentale risiede nel fatto che il servizio telnetd non inizializza la variabile USER prima di trasmetterla al comando login, il quale a sua volta utilizza l’opzione -f per eludere la procedura di autenticazione standard.
La vulnerabilità CVE-2026-24061 ha ricevuto un punteggio CVSS di 9,8 e riguarda le versioni di GNU InetUtils dalla 1.9.3 (rilasciata nel 2015) alla 2.7. Il problema è stato risolto nella versione 2.8, rilasciata il 20 gennaio 2026. Sorprendentemente, il problema è rimasto inosservato per quasi 11 anni.
Il problema è apparso nel codice il 19 marzo 2015 ed è stato incluso nella versione 1.9.3 rilasciata il 12 maggio 2015. Il 19 gennaio 2026, il bug è stato scoperto da un ricercatore di sicurezza informatica con lo pseudonimo di Kyu Neushwaistein.
Pochi giorni dopo la divulgazione della vulnerabilità CVE-2026-24061, la società di sicurezza GreyNoise ha segnalato di aver rilevato uno sfruttamento limitato di questa vulnerabilità in attacchi reali. L’attività dannosa è iniziata il 21 gennaio (il giorno successivo al rilascio della patch).
In base alle informazioni fornite da GreyNoise, un totale di 21 indirizzi IP unici ha provato ad approfittarsi della vulnerabilità nell’arco delle ultime 24 ore. Diverse nazioni risultano essere alla fonte degli attacchi, tra cui Hong Kong, gli Stati Uniti, il Giappone, i Paesi Bassi, la Cina, la Germania, Singapore e la Thailandia.
Secondo gli esperti, l’attacco ha avuto origine da 18 indirizzi IP distribuiti su 60 sessioni Telnet, sfruttando la negoziazione delle opzioni Telnet IAC per iniettare USER=-f
Ai gestori di sistema che hanno difficoltà ad aggiornare tempestivamente alla versione corretta, si suggerisce di disabilitare il servizio vulnerabile telnetd o di bloccare la porta TCP 23 su tutti i firewall.
La Cybersecurity and Infrastructure Security Agency (CISA) ha confermato lo sfruttamento attivo della vulnerabilità CVE-2026-24061, inserendola ufficialmente nel Known Exploited Vulnerabilities (KEV) Catalog.
Secondo CISA, le organizzazioni devono applicare con urgenza le mitigazioni fornite dal vendor o attenersi alle indicazioni del Binding Operational Directive (BOD) 22-01. In assenza di contromisure efficaci, viene raccomandata la dismissione del prodotto. La vulnerabilità è stata aggiunta al KEV Catalog il 26 gennaio 2026, con una scadenza di remediation fissata al 16 febbraio 2026, sottolineando l’elevata priorità del rischio.
Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
