Uma falha crítica de segurança no Linux, ignorada por quase 11 anos, veio à tona recentemente e está gerando grande preocupação na comunidade de segurança. A vulnerabilidade afeta o GNU InetUtils telnetd e permite bypass de autenticação remota, concedendo acesso root sem necessidade de senha.
Identificada como CVE-2026-24061, a falha recebeu pontuação 9,8 no CVSS, sendo considerada de gravidade crítica. Todas as versões do GNU InetUtils entre 1.9.3 e 2.7 estão vulneráveis.
Entenda a falha no GNU InetUtils telnetd
Segundo informações publicadas na National Vulnerability Database (NVD) do NIST, o problema ocorre devido à falta de sanitização da variável de ambiente USER enviada pelo cliente Telnet.
O serviço telnetd repassa esse valor diretamente ao binário login(1), que normalmente é executado com privilégios elevados. Um invasor pode explorar esse comportamento enviando um valor malicioso como:
-f root
Esse parâmetro faz com que o login(1) ignore completamente o processo de autenticação, concedendo acesso direto como usuário root.
Detalhes técnicos da exploração
A análise técnica foi divulgada pelo desenvolvedor do GNU Simon Josefsson, que explicou que o telnetd executa o comando:
/usr/bin/login
passando o conteúdo da variável USER como argumento final. O problema é que o login(1) interpreta a opção -f como um sinal para pular a autenticação, comportamento que pode ser explorado quando o cliente Telnet utiliza os parâmetros -a ou –login.
Dessa forma, o atacante consegue se autenticar automaticamente como root, sem fornecer credenciais válidas.
Origem e descoberta da vulnerabilidade
De acordo com Josefsson, a falha foi introduzida em um commit datado de 19 de março de 2015, incorporado oficialmente à versão 1.9.3 do GNU InetUtils em maio daquele ano.
A vulnerabilidade foi descoberta e reportada em 19 de janeiro de 2026 pelo pesquisador de segurança Kyu Neushwaistein (Carlos Cortes Alvarez), que recebeu os devidos créditos pela identificação do problema.
Exploração ativa já foi detectada
Dados recentes da empresa de inteligência de ameaças GreyNoise indicam que 21 endereços IP únicos tentaram explorar essa falha nas últimas 24 horas.
Os IPs têm origem em países como:
- Estados Unidos
- China
- Japão
- Alemanha
- Singapura
Todos foram classificados como maliciosos, o que confirma que a vulnerabilidade já está sendo explorada ativamente na internet.
Como mitigar a falha CVE-2026-24061
Diante do alto risco, especialistas recomendam ações imediatas:
- Aplicar os patches de segurança mais recentes do GNU InetUtils
- Restringir o acesso à porta do Telnet apenas a clientes confiáveis
- Desativar completamente o telnetd, sempre que possível
- Como mitigação temporária, configurar o telnetd para utilizar uma implementação alternativa do login(1) que não aceite o parâmetro -f
Vale reforçar que o Telnet é um protocolo obsoleto e inseguro, e sua utilização em ambientes modernos representa um risco significativo à segurança.
