Grave vulnerabilidad en GNU InetUtils permite acceso root sin autenticación
Publicado el
Vulnerabilidad en GNU InetUtils
Una grave vulnerabilidad ha sido revelada en el daemon telnetd de GNU InetUtils, una debilidad que había permanecido sin ser detectada durante casi 11 años. Esta falla, catalogada como CVE-2026-24061, recibe una puntuación de 9.8 sobre 10 en el sistema de puntuación CVSS, lo que indica su alta criticidad. Afecta a todas las versiones de GNU InetUtils desde la 1.9.3 hasta la 2.7.
Según la descripción de la vulnerabilidad en la Base de Datos Nacional de Vulnerabilidades (NVD) del NIST, "telnetd en GNU Inetutils hasta la versión 2.7 permite eludir la autenticación remota mediante un valor '-f root' para la variable de entorno USER". Esto implica que un atacante puede manipular la variable de entorno USER al enviar un valor especialmente diseñado, logrando así el acceso root sin pasar por los procesos de autenticación normales.
Mecanismo de explotación
El servidor telnetd invoca `/usr/bin/login`, que normalmente se ejecuta como root, pasando el valor de la variable de entorno USER recibida del cliente como último parámetro. Si el cliente proporciona un valor cuidadosamente elaborado, como la cadena "-f root", y utiliza el parámetro `-a` o `--login` de telnet para enviar esta variable al servidor, el cliente se conectará automáticamente como root, eludiendo la autenticación estándar. Esto ocurre porque el servidor telnetd no sanitiza adecuadamente la variable de entorno USER antes de pasarla a login(1), que utiliza el parámetro `-f` para omitir la autenticación normal.
La vulnerabilidad fue introducida en el código fuente el 19 de marzo de 2015, y se incluyó en la versión 1.9.3 lanzada el 12 de mayo de 2015. El investigador de seguridad Kyu Neushwaistein (también conocido como Carlos Cortes Alvarez) ha sido creditado con el descubrimiento y la notificación de esta falla el 19 de enero de 2026.
Medidas de mitigación
Para mitigar el riesgo, se recomienda aplicar los últimos parches disponibles y restringir el acceso a la red al puerto telnet a clientes de confianza. Como soluciones temporales, los usuarios pueden desactivar el servidor telnetd o configurar el telnetd de InetUtils para utilizar una herramienta de login(1) personalizada que no permita el uso del parámetro `-f`.
Recientes datos recopilados por la firma de inteligencia de amenazas GreyNoise indican que en las últimas 24 horas se han observado 21 direcciones IP únicas intentando llevar a cabo ataques de elusión de autenticación remota aprovechando esta vulnerabilidad. Las IP, que provienen de diversos países como Hong Kong, EE.UU., Japón, Países Bajos, China, Alemania, Singapur y Tailandia, han sido marcadas como maliciosas.
"El análisis de las sesiones combinadas revela una campaña de explotación coordinada dirigida a los servicios Telnet (TCP/23) utilizando la vulnerabilidad de elusión de autenticación de Inetutils telnetd -f", afirmó la empresa. "Las actividades posteriores a la explotación incluyen reconocimiento del sistema, persistencia de claves SSH e intentos de implementación de malware".
Actualización de seguridad
El 26 de enero de 2026, la Agencia de Ciberseguridad y Seguridad de Infraestructura de EE.UU. (CISA) añadió CVE-2026-24061 a su catálogo de Vulnerabilidades Conocidas Explotadas (KEV), exigiendo a las agencias de la Rama Ejecutiva Civil Federal (FCEB) que apliquen los parches antes del 16 de febrero de 2026. Es crucial que los administradores de sistemas tomen medidas inmediatas para proteger sus entornos frente a esta vulnerabilidad crítica.