CVE-2026-24061: la vulnerabilità che concede accesso root senza autenticazione su Telnet
Una falla critica nel demone telnetd di GNU InetUtils, rimasta nascosta per 11 anni, espone centinaia di migliaia di server a exploit remoti. Il crollo globale…
Contenuto
Scopri anche
- Vulnerabilità zero-day in SharePoint e Zimbra: attacchi globali e mitigazione
- Apple introduce i Background Security Improvement: il nuovo sistema di patch leggere per iOS e macOS
- DarkSword: nuovo exploit kit iOS colpisce milioni di iPhone con catena di vulnerabilità zero-day
- Apple rilascia il primo Background Security Improvement per iOS, iPadOS e macOS Tahoe
- Apple lancia Background Security Improvements: aggiornamenti automatici per correggere vulnerabilità senza riavvii
- Nove vulnerabilità CrackArmor in Linux AppArmor espongono oltre 12 milioni di sistemi enterprise
- Microsoft Edge 146: patch di sicurezza per vulnerabilità zero-day e nuove funzionalità
- Windows 11: aggiornamenti di febbraio e gennaio 2026 causano problemi critici su dispositivi Samsung e app di sistema
- Sony rilascia il firmware 13.50 per PlayStation 4: miglioramenti al sistema e possibili patch di sicurezza
- Vulnerabilità critiche e ransomware: analisi delle minacce informatiche più pericolose
- Le vulnerabilità critiche nella storia della cybersecurity: da EternalBlue alle minacce moderne
- Cybersecurity: allerta globale per vulnerabilità Microsoft SharePoint e attacco ransomware VMware ESXi
- Microsoft corregge vulnerabilità zero-day critiche: analisi delle patch di sicurezza
- Cybersecurity 2025: il framework Cyber Kill Chain e l'evoluzione delle minacce cloud
- Google registra 90 vulnerabilità zero-day nel 2025: i fornitori di spyware commerciale superano gli attori statali
- Patch Tuesday 2026: Microsoft e 60 fornitori correggono vulnerabilità zero-day attivamente sfruttate
- La Cyber Kill Chain e le nuove frontiere della sicurezza cloud: strategie di difesa nell'era delle minacce accelerate
- Vulnerabilità zero-day: Google e Apple corrono ai ripari dopo attacchi attivi
- OpenAI lancia Codex Security: l'agente AI per la rilevazione delle vulnerabilità software
- Samsung distribuisce aggiornamenti software su vasta scala: patch di sicurezza e One UI 8.5 in arrivo
CVE-2026-24061: la vulnerabilità che concede accesso root senza autenticazione su Telnet
- Il meccanismo dell'Argument Injection
- Il collegamento con CVE-1999-0073
- Il crollo globale del traffico Telnet del 14 gennaio 2026
- La dimensione dell'esposizione e gli attacchi in corso
- Le implicazioni per i sistemi legacy e OT
- Le contromisure e le raccomandazioni
- Implicazioni e scenari
- Cosa monitorare
- Fonti
Una vulnerabilità critica identificata come CVE-2026-24061 affligge il demone telnetd della suite GNU InetUtils, consentendo a un attaccante remoto non autenticato di ottenere una shell con privilegi di root tramite una singola richiesta. La falla, con uno score CVSS di 9.8, deriva da un difetto di sanitizzazione nell'ambiente e colpisce versioni del software distribuite per oltre un decennio. I dati raccolti da organizzazioni di sicurezza indicano che circa 800.000 server rimangono esposti sulla rete pubblica.
Il meccanismo dell'Argument Injection
⬆ Torna suIl cuore della vulnerabilità risiede nel modo in cui telnetd invoca il processo di login del sistema. Quando una sessione Telnet viene stabilita, il demone deve passare le informazioni dell'utente al binario /bin/login. Nell'implementazione di GNU InetUtils, versioni dalla 1.9.3 fino alla 2.7, la funzione start_login utilizza internamente una routine chiamata expand_line per costruire la stringa di comando. Il template è generalmente simile a: login -p -h %h %U.
Il problema tecnico consiste nell'assenza di sanitizzazione del valore passato tramite il placeholder %U. Poiché il protocollo Telnet permette la negoziazione di variabili d'ambiente durante l'handshake iniziale, tramite l'opzione NEW_ENVIRON definita nella RFC 1572, un client malevolo può iniettare parametri arbitrari nel comando di login.
L'attaccante può fornire come variabile USER la stringa -f root. Quando telnetd espande la riga di comando, il risultato finale eseguito dal sistema, con privilegi di root dato che il demone gira come tale, diventa: /bin/login -p -h -f root . La flag -f (force) del comando login è progettata per saltare la fase di autenticazione quando l'utente è già stato validato da un altro servizio. Invocando login -f root, il sistema assume che l'identità sia già verificata e concede immediatamente una shell root senza richiedere alcuna password.
Il collegamento con CVE-1999-0073
⬆ Torna suSecondo l'analisi del ricercatore Justin Schwartz, si tratta di una "rinascita" della vulnerabilità CVE-1999-0073, una falla ben nota che molti consideravano un capitolo chiuso della storia. Tuttavia, le implementazioni moderne hanno scoperto un meccanismo simile che consente di bypassare l'autenticazione e ottenere l'escalation dei privilegi. Il problema risiede nel modo in cui telnetd avvia il processo /bin/login in un contesto root-to-root.
In questa modalità, il kernel imposta il flag AT_SECURE a zero. Il linker dinamico non entra in modalità di esecuzione protetta e la responsabilità della cancellazione delle variabili d'ambiente ricade su telnetd stesso. Se il demone non filtra correttamente le variabili d'ambiente, un aggressore può falsificarle e forzare il sistema a caricare una libreria dannosa. Schwartz ha dimostrato una tecnica di privilege escalation che crea una copia di /bin/sh con privilegi SUID/SGID, garantendo il controllo completo sul sistema senza richiedere autenticazione Telnet.
Schwartz ritiene che il problema derivi da un approccio consolidato al filtraggio e all'uso di blacklist di variabili. Questo metodo si è dimostrato inaffidabile e ha lasciato lacune per quasi 27 anni. Come soluzione, propone di passare a un modello a whitelist, come quello implementato in OpenSSH, che consente un insieme strettamente limitato di variabili sicure.
Il crollo globale del traffico Telnet del 14 gennaio 2026
⬆ Torna suI ricercatori di GreyNoise Labs hanno documentato un fenomeno anomalo: il 14 gennaio 2026 si è verificata una caduta improvvisa e sostenuta del traffico Telnet. Non si è trattato di un declino progressivo attribuibile al naturale declino del protocollio, ma di un azzeramento globale repentino, compatibile con una modifica di configurazione su larga scala applicata a livello di backbone o di grandi provider di transito.
Sei giorni dopo questo evento è stata resa pubblica la vulnerabilità critica CVE-2026-24061. La sequenza temporale tra i due eventi solleva interrogativi che vanno oltre la mera coincidenza statistica. I processi di responsible disclosure includono fasi di segnalazione, coordinamento con vendor, preparazione di patch e pianificazione di advisory ufficiali che raramente iniziano nel momento in cui la vulnerabilità diventa pubblica.
È plausibile che informazioni preliminari sulla vulnerabilità critica siano state condivise con attori dotati di capacità operative sull'infrastruttura globale. L'implementazione anticipata di filtri sul traffico Telnet avrebbe rappresentato una misura preventiva volta a ridurre la superficie di attacco prima della diffusione pubblica dei dettagli tecnici. La natura "istantanea" del fenomeno suggerisce un cambiamento operativo distribuito attraverso sistemi di filtering su nodi chiave della rete globale, implementabile in tempi molto rapidi su infrastrutture Tier 1.
La dimensione dell'esposizione e gli attacchi in corso
⬆ Torna suShadowserver ha reso noti i dettagli del caso il 27 gennaio 2026, segnalando che quasi 800.000 server Telnet risultano esposti alla vulnerabilità. Dati di scanning globale provenienti da Shodan, Censys e Shadowserver indicano che tra 1 e 3 milioni di host su Internet espongono ancora il servizio Telnet sulla porta 23 in modo direttamente raggiungibile.
Gli specialisti di GreyNoise osservano che oltre 20 IP unici hanno tentato attacchi di auth bypass sfruttando CVE-2026-24061 nell'arco di una giornata. Secondo l'analisi Shadowserver, l'escalation degli attacchi è iniziata il 21 gennaio 2026, quando sono stati rilevati i primi accessi anomali provenienti da reti distribuite a livello globale. I pattern riconducibili a operazioni di ricognizione e installazione di backdoor indicano l'intento di mantenere accesso persistente o scalare ad attacchi su larga scala, incluso ransomware, distorsione dati o sabotaggio di servizi pubblici.
La vulnerabilità è stata introdotta da una modifica al codice sorgente committata nel marzo 2015 ed è apparsa per la prima volta in GNU InetUtils versione 1.9.3. Rimasta non rilevata per più di 11 anni, la falla colpisce tutte le release di GNU InetUtils dalla versione 1.9.3 fino alla 2.7 inclusa.
Le implicazioni per i sistemi legacy e OT
⬆ Torna suNonostante Telnet sia considerato un protocollo obsoleto, la sua massiccia presenza in sistemi legacy, infrastrutture OT (Operational Technology) e dispositivi IoT rende questa vulnerabilità una minaccia di primo piano. La natura open source di GNU InetUtils, pur consentendo maggiore trasparenza, ha portato a una distribuzione diffusa della vulnerabilità nell'ecosistema Linux e Unix-like.
La presenza di una falla che consente l'accesso root remoto senza autenticazione rappresenta un rischio significativo. Una volta ottenuto l'accesso root, l'attaccante gode della massima libertà di azione: può disabilitare sistemi di sicurezza, rubare credenziali, cancellare tracce e danneggiare irreparabilmente hardware e software. La vastità dei sistemi non monitorati rende la protezione dei server Telnet una questione urgente anche per chi riteneva di essere marginalmente esposto.
L'episodio evidenzia una tendenza emergente: la sicurezza di protocolli legacy non è più demandata esclusivamente agli endpoint, ma gestita sempre più a livello di infrastruttura di transito. Filtrare il traffico su porte storicamente associate a protocolli insicuri rappresenta una forma di difesa collettiva che riduce l'efficacia di worm e botnet basati su scansioni di massa.
Le contromisure e le raccomandazioni
⬆ Torna suGli esperti raccomandano una serie di azioni immediate per minimizzare i rischi. Chi utilizza ancora telnetd deve installare l'aggiornamento appena rilasciato. Come misura temporanea, è possibile disabilitare completamente il server telnetd o configurarlo per utilizzare un'utilità di login personalizzata che blocchi il parametro -f, impedendo i root login non autorizzati.
È inoltre opportuno limitare l'accesso alla porta Telnet (porta 23) esclusivamente a client fidati tramite firewall o regole di network access control. Le organizzazioni devono identificare tutti i dispositivi che espongono ancora Telnet, segmentare le reti per isolare i sistemi legacy e pianificare la migrazione verso protocolli sicuri come SSH.
Shadowserver suggerisce di applicare patch immediate a tutti i sistemi affetti, monitorare gli accessi anomali e sostituire progressivamente i servizi Telnet con alternative crittografate. La pianificazione di audit periodici sull'infrastruttura di rete completa e la formazione del personale tecnico riducono ulteriormente i rischi.
Questo articolo è una sintesi basata esclusivamente sulle fonti elencate.
Implicazioni e scenari
⬆ Torna suLa vulnerabilità CVE-2026-24061 evidenzia come protocolli considerati obsoleti continuino a rappresentare un vettore di attacco rilevante, specialmente in contesti OT e infrastrutture legacy. L'accesso root senza autenticazione amplifica il potenziale danno, con rischi che si estendono dal furto di dati al sabotaggio di sistemi operativi essenziali.
- Scenario 1: Gli attaccanti potrebbero sfruttare la falla per stabilire accesso persistente su server legacy, trasformandoli in nodi per operazioni di ricognizione o lancio di attacchi successivi verso reti interne.
- Scenario 2: Organizzazioni con sistemi OT esposti potrebbero subire compromissioni di dispositivi industriali, con impatti potenzialmente rilevanti sulla continuità operativa.
- Scenario 3: La disponibilità pubblica di dettagli tecnici sull'Argument Injection potrebbe portare alla rapida comparsa di strumenti automatizzati per lo scanning su larga scala.
Cosa monitorare
⬆ Torna su- Ulteriori advisory da parte di distributori Linux e vendor di sistemi embedded.
- Segnalazioni di nuovi IP associati a tentativi di sfruttamento della vulnerabilità.
- Aggiornamenti da parte di GNU InetUtils su eventuali versioni patchate.
Nota editoriale: questa sezione propone una lettura analitica dei temi trattati, senza introdurre dati fattuali non presenti nelle fonti.
Fonti
⬆ Torna su- https://www.redhotcyber.com/post/il-ritorno-dei-morti-viventi-un-bug-di-27-anni-su-telnet-sta-terrorizzando-i-server-del-2026/
- https://www.ilsoftware.it/telnet-scompare-in-una-notte-il-crollo-globale-del-2026-per-salvare-milioni-di-dispositivi/
- https://blog.lobsec.com/2026/02/cve-2026-24061-telnetd-exploit/
- https://socprime.com/blog/cve-2026-24061-vulnerability/
- https://edunews24.it/tecnologia/telnet-una-falla-decennale-espone-800000-server-al-rischio-globale-attacchi-in-corso-mentre-la-sicurezza-vacilla
- https://hackerjournal.it/14439/attacchi-ai-servizi-di-rete/
- https://netwrix.com/en/resources/blog/open-ports-vulnerability-list/
In breve
- cve
- vulnerabilita
- cybersecurity
- exploit