Vulnerabilità

Vulnerabilità critica in GNU telnetd consente accesso root remoto senza credenziali

di Redazione
scritto da Redazione 0 commenti
cve 2026 24061 gnu telnetd curl

La falla interessa tutte le versioni di GNU InetUtils dalla 1.9.3 alla 2.7 ed è il risultato di un commit introdotto nel 2015, rimasto inosservato per oltre undici anni. Il bug consente al server telnetd di invocare /usr/bin/login come root senza una corretta sanitizzazione dell’input, rendendo possibile un bypass completo dell’autenticazione.

Dettagli tecnici della vulnerabilità CVE-2026-24061

Il problema nasce dal modo in cui telnetd gestisce la variabile USER quando riceve connessioni con opzioni di login automatico. Un attaccante può avviare una sessione utilizzando il client telnet con le opzioni -a o –login, passando come valore della variabile USER la stringa “-f root”.

In questo scenario, telnetd trasmette il valore direttamente al binario login, che interpreta il parametro -f come istruzione per forzare il login di un utente senza richiedere password. Poiché il processo viene eseguito con privilegi elevati, il risultato è una shell root immediata, ottenuta senza alcuna autenticazione valida.

La vulnerabilità è stata individuata e segnalata il 19 gennaio 2026 dal ricercatore Kyu Neushwaistein, che ha ricostruito l’origine del bug risalendo a una modifica del codice introdotta nel 2015 e mai corretta.

Impatto reale e tentativi di sfruttamento osservati

Il punteggio CVSS 3.1 pari a 9.8 colloca CVE-2026-24061 nella fascia di massima gravità. Secondo i dati di GreyNoise, nelle 24 ore successive alla divulgazione sono stati rilevati almeno 21 indirizzi IP malevoli impegnati in tentativi di exploit attivo.

Le sorgenti degli attacchi risultano distribuite globalmente, con attività proveniente da Stati Uniti, Germania, Paesi Bassi, Giappone, Cina, Hong Kong, Singapore e Thailandia, segnale che la vulnerabilità è stata rapidamente integrata in scanner automatizzati e toolkit offensivi.

Sebbene telnetd sia considerato obsoleto, la sua presenza in ambienti legacy, sistemi embedded, apparati industriali e infrastrutture non aggiornate rende il rischio tutt’altro che teorico. In questi contesti, l’exploit consente compromissione totale del sistema con un singolo pacchetto di rete.

Mitigazioni immediate e raccomandazioni operative

La prima e più efficace contromisura è l’aggiornamento immediato di GNU InetUtils a una versione corretta non vulnerabile. Dove l’aggiornamento non sia possibile nell’immediato, le mitigazioni consigliate includono la disabilitazione completa di telnetd, pratica già raccomandata da anni in favore di protocolli più sicuri come SSH.

In ambienti dove telnet è ancora richiesto per compatibilità, è essenziale limitare l’accesso alla porta 23 tramite firewall, consentendo connessioni solo da indirizzi fidati, e valutare l’uso di wrapper di autenticazione che impediscano il passaggio di parametri non sanitizzati a /usr/bin/login.

Il caso evidenzia come servizi legacy non auditati rappresentino ancora una superficie d’attacco critica, specialmente quando esposti su reti pubbliche o scarsamente segmentate.

Il contesto più ampio: sicurezza open source sotto pressione

La divulgazione di CVE-2026-24061 arriva in un periodo di forte pressione sui team open source. Pochi giorni dopo, il progetto curl ha annunciato la chiusura del proprio bug bounty su HackerOne, a causa di un’ondata di segnalazioni di bassa qualità generate da AI, ritenute insostenibili per un team di manutenzione ridotto.

Il maintainer Daniel Stenberg ha spiegato che il flusso di report rumorosi stava sottraendo tempo prezioso alla gestione di vulnerabilità reali, spingendo il progetto a centralizzare le segnalazioni su GitHub senza incentivi economici. Questo contesto rafforza l’idea che vulnerabilità critiche possano restare latenti per anni, non per mancanza di trasparenza, ma per limiti strutturali di revisione e audit continuo.

Perché CVE-2026-24061 è un campanello d’allarme

Questa vulnerabilità dimostra come componenti considerati superati possano diventare punti di ingresso devastanti se lasciati operativi. Un bug introdotto undici anni prima, in un servizio ritenuto marginale, si traduce oggi in accesso root remoto senza password, con exploit già in circolazione.

Per amministratori e responsabili sicurezza, il messaggio è chiaro: ridurre l’attacco non è opzionale, e ogni servizio legacy esposto deve essere considerato potenzialmente critico, indipendentemente dalla sua diffusione apparente.

Domande frequenti sulla vulnerabilità CVE-2026-24061

Cos’è CVE-2026-24061 in termini semplici?

È una vulnerabilità che permette a un attaccante remoto di ottenere accesso root senza password su sistemi che eseguono telnetd di GNU InetUtils.

Quali versioni di GNU InetUtils sono vulnerabili?

Tutte le versioni dalla 1.9.3 alla 2.7, rilasciate tra il 2011 e il 2025.

Il rischio è reale anche se telnet è considerato obsoleto?

Sì, perché molti sistemi legacy ed embedded utilizzano ancora telnetd, spesso esposto in rete.

Qual è la mitigazione più efficace?

Disabilitare telnetd e aggiornare GNU InetUtils; in alternativa, bloccare l’accesso di rete e applicare controlli di autenticazione aggiuntivi.

Iscriviti a Matrice Digitale

Ricevi le notizie principali direttamente nella tua casella di posta.

Niente spam, disiscriviti quando vuoi.

Potrebbe interessarti anche

Matrice Digitale partecipa al Programma Affiliazione Amazon EU, un programma di affiliazione che consente ai siti di percepire una commissione pubblicitaria pubblicizzando e fornendo link al sito Amazon.it.

La redazione di Matrice Digitale è specializzata in cybersecurity, OSINT, intelligenza artificiale e geopolitica tecnologica. Con inchieste indipendenti e analisi approfondite, raccontiamo come privacy, sorveglianza e innovazione digitale plasmano la società, anticipando i rischi e le sfide ignorate dai media tradizionali.