Se ha descubierto un fallo de seguridad crítico en el daemon telnet GNU INetUtils ( telnet ) que pasó desapercibido durante casi 11 años.

La vulnerabilidad, rastreada como CVE-2026-24061 , tiene una calificación de 9,8 sobre 10,0 en el sistema de puntuación CVSS. Afecta a todas las versiones de GNU INetUtils, desde la 1.9.3 hasta la 2.7, inclusive.

«Telnetd en GNU Inetutils hasta la versión 2.7 permite eludir la autenticación remota mediante un valor '-f root' para la variable de entorno USER», según una descripción de la falla en la base de datos nacional de vulnerabilidades (NVD) del NIST.

En un correo en la lista de correo de oss-security, Simon Josefsson, colaborador de GNU, dijo que la vulnerabilidad se puede aprovechar para obtener acceso root a un sistema objetivo -

El servidor telnetd invoca /usr/bin/login (que normalmente se ejecuta como root) y pasa el valor de la variable de entorno USER recibida del cliente como último parámetro.

Si el cliente proporciona [sic] un valor de entorno USER cuidadosamente diseñado con la cadena «-f root» y pasa el parámetro telnet (1) -a o --login para enviar este entorno USER al servidor, el cliente iniciará sesión automáticamente como usuario root sin pasar por los procesos de autenticación normales.

Esto ocurre porque el servidor telnetd [sic] no sanea la variable de entorno USER antes de pasarla a login (1), y login (1) usa el parámetro -f para eludir la autenticación normal.

Josefsson también señaló que la vulnerabilidad se introdujo como parte de un confirmación de código fuente realizado el 19 de marzo de 2015, que finalmente llegó a la versión 1.9.3 el 12 de mayo de 2015. Al investigador de seguridad Kyu Neushwaistein (también conocido como Carlos Cortés Alvarez) se le atribuye el mérito de haber descubierto y denunciado la falla el 19 de enero de 2026.

Como medida paliativa, se recomienda aplicar los parches más recientes y restringir el acceso a la red al puerto telnet a los clientes de confianza. Como solución temporal, los usuarios pueden deshabilitar el servidor telnetd o hacer que el telnetd de InetUtils utilice una herramienta de inicio de sesión (1) personalizada que no permita el uso del parámetro «-f», añadió Josefsson.

Los datos recopilados por la empresa de inteligencia de amenazas GreyNoise muestran que 21 direcciones IP únicas se han observado intentos de ejecutar un ataque de elusión de autenticación remota aprovechando la falla durante las últimas 24 horas. Todas las direcciones IP, que originar de Hong Kong, EE. UU., Japón, los Países Bajos, China, Alemania, Singapur y Tailandia, han sido marcados como maliciosos.

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.