Vulnerabilità CVE-2026-24061 in GNU InetUtils: bypass autenticazione root via Telnet
Analisi della vulnerabilità critica nel server telnetd di GNU InetUtils che permette di ottenere accesso root senza autenticazione. Impatto su sistemi legacy,…
Contenuto
Scopri anche
- Cisco corregge vulnerabilità RCE zero-day nei prodotti Unified Communications
- RondoDox Botnet Sfrutta la Vulnerabilità React2Shell per Colpire Server Next.js
- Problemi Windows 10 e 11: Patch Straordinarie e Disconnessioni Desktop Remoto
- Ni8mare: Vulnerabilità Critica CVE-2026-21858 Minaccia le Istanze n8n
- ZombieAgent: la vulnerabilità ChatGPT che trasforma l'AI in uno strumento di spionaggio
Vulnerabilità CVE-2026-24061 in GNU InetUtils: bypass autenticazione root via Telnet
In questo articolo:
Una falla presente da undici anni nel protocollo Telnet
⬆ Torna su Una campagna coordinata sta prendendo di mira una vulnerabilità di gravità critica recentemente divulgata, presente nel server telnetd di GNU InetUtils da undici anni. La questione di sicurezza, identificata come CVE-2026-24061 e segnalata il 20 gennaio, risulta banale da sfruttare e sono disponibili pubblicamente multiple istanze di exploit. Il componente telnetd di GNU InetUtils contiene una vulnerabilità di bypass dell'autenticazione remota causata dalla gestione non sanitizzata delle variabili d'ambiente durante la generazione del processo '/usr/bin/login'. Il problema si verifica perché telnetd passa la variabile d'ambiente USER, controllata dall'utente, direttamente a login(1) senza sanificazione. Impostando USER a `-f root` e connettendosi con il comando `telnet -a`, un attaccante può saltare l'autenticazione e ottenere l'accesso root.Dispositivi interessati e contesto del protocollo Telnet
⬆ Torna su La vulnerabilità interessa le versioni di GNU InetUtils dalla 1.9.3 (rilasciata nel 2015) alla 2.7, ed è stata corretta nella versione 2.8. GNU InetUtils è una raccolta di strumenti classici per client e server di rete, tra cui telnet/telnetd, ftp/ftpd, rsh/rshd, ping e traceroute, mantenuta dal GNU Project e utilizzata in diverse distribuzioni Linux. Sebbene Telnet sia un componente legacy e insicuro, largamente sostituito da SSH, molti sistemi Linux e Unix lo includono ancora per compatibilità o necessità di utilizzo specializzate. La sua semplicità e il basso overhead lo rendono particolarmente prevalente nel settore industriale. Su dispositivi legacy e embedded, può rimanere in esecuzione senza aggiornamenti per più di un decennio, il che spiega la sua presenza in dispositivi IoT, telecamere, sensori industriali e reti di Tecnologia Operativa (OT). Cristian Cornea di Zerotak ha spiegato a BleepingComputer che i sistemi critici sono difficili da sostituire negli ambienti OT/ICS. Il ricercatore ha affermato che a volte ciò è impossibile perché gli aggiornamenti sono accompagnati da operazioni di riavvio. "Di conseguenza, incontriamo ancora sistemi che eseguono server Telnet, e anche se si tentasse di sostituirli con protocolli più sicuri come SSH, questo non è fattibile a causa dei sistemi legacy che rimangono in operazione."Attività di sfruttamento osservata nella wild
⬆ Torna su La società di monitoraggio delle minacce GreyNoise riporta di aver rilevato attività di sfruttamento reale che sfruttano CVE-2026-24061 contro un piccolo numero di endpoint vulnerabili. Le attività, registrate tra il 21 e il 22 gennaio, sono originate da 18 IP attacker unici attraverso 60 sessioni Telnet, tutte definite maligne al 100%, che hanno inviato 1.525 pacchetti per un totale di 101.6 KB. Gli attacchi abusano della negoziazione delle opzioni Telnet IAC per iniettare 'USER=-f ' e concedere l'accesso alla shell senza autenticazione. GreyNoise indica che la maggior parte dell'attività appare automatizzata, sebbene siano stati notati alcuni casi di interazione umana "human-at-keyboard". Negli attacchi sono state osservate variazioni nella velocità del terminale, nel tipo e nei valori X11 DISPLAY, ma nell'83.3% dei casi è stato preso di mira l'utente 'root'. Nella fase post-sfruttamento, gli attaccanti hanno condotto operazioni di ricognizione automatizzate e hanno tentato di rendere persistenti chiavi SSH e di distribuire malware Python. GreyNoise riporta che questi tentativi sono falliti sui sistemi osservati a causa di binari o directory mancanti.Funzionamento del protocollo Telnet e rischi intrinseci
⬆ Torna su Telnet è un protocollo di emulazione terminale comunemente utilizzato su Internet e reti basate su TCP/IP. Consentire a un utente di accedere a un computer remoto ed eseguire programmi. Il protocollo risiede a livello di sessione del modello OSI/ISO e per fornire l'accesso remoto al terminale del server, la porta 23 è riservata dallo standard. Il protocollo viene utilizzato principalmente dagli amministratori di rete per accedere e controllare in remoto i dispositivi di rete, aiutandoli ad accedere al dispositivo tramite telnetting all'indirizzo IP o al nome host del dispositivo remoto. Ciò consente agli utenti di accedere a qualsiasi applicazione su un computer remoto e stabilire una connessione al sistema remoto. Telnet è stato sviluppato in un momento in cui la sicurezza informatica non era una preoccupazione primaria. Poiché solo persone fidate avevano accesso alla rete, l'idea di un'intrusione era considerata inverosimile. Oggi, con miliardi di persone connesse, gli hacker attaccano costantemente i sistemi remoti. Poiché Telnet invia i suoi comandi in testo semplice e utilizza una porta di rete ben nota, è relativamente facile intercettare o modificare i dati. Secure Shell (SSH) risolve questo problema crittografando fortemente tutti i dati inviati e ricevuti, motivo per cui ha soppiantato Telnet.Mitigazioni raccomandate per sistemi vulnerabili
⬆ Torna su Per coloro che non possono effettuare l'upgrade alla versione sicura, le strategie di mitigazione includono la disabilitazione del servizio telnetd o il blocco della porta TCP 23 su tutti i firewall. L'Agenzia per la Cybersicurezza Nazionale italiana raccomanda di disabilitare Telnet sostituendolo con protocolli sicuri come SSH. Qualora, per ragioni legacy, non sia possibile rimuoverlo, è opportuno limitarne l'accesso tramite ACL, VPN, segmentazione di rete e monitoraggio attivo dei log di connessione. L'esposizione di servizi di accesso remoto come Telnet sulla rete Internet senza adeguate misure di protezione rappresenta un rischio critico, in quanto possono diventare bersagli per attacchi automatizzati, tentativi di brute force e scansioni volte a individuare vulnerabilità note. Sebbene l'attività di sfruttamento osservata appaia limitata in portata e successo, i sistemi potenzialmente impattati dovrebbero essere patchati o irrobustiti secondo le raccomandazioni prima che gli attaccanti ottimizzino le loro catene di attacco.Questo articolo è stato redatto esclusivamente sulla base delle fonti elencate, senza aggiunte speculative o informazioni esterne.
Fonti
⬆ Torna su- https://www.bleepingcomputer.com/news/security/hackers-exploit-critical-telnetd-auth-bypass-flaw-to-get-root/
- https://www.it-impresa.it/blog/telnet-cose-e-come-funziona-il-protocollo/
- https://www.acn.gov.it/portale/en/w/dispositivi-iot-e-servizi-di-accesso-remoto-connessi-ad-internet-rischi-e-mitigazioni
In breve
- vulnerability
- iot
- cisco
- ssh