Uma falha crítica no demônio telnet GNU InetUtils saiu à luz depois de permanecer inadvertido quase onze anos. Catalogado como CVE-2026-24061 e com uma pontuação de gravidade de 9.8 sobre 10 na escala CVSS, este problema permite contornar o processo de autenticação e obter acesso com privilégios de root em sistemas afetados.
Telnetd é o programa que aceita ligações Telnet e serve de ponte para iniciar sessão num sistema remoto; embora o protocolo Telnet seja antigo e não tenha criptografia, ainda é usado em alguns ambientes embebidos e redes de administração onde a simplicidade prima sobre a segurança. A vulnerabilidade descoberta reside na forma como telnetd transmite a variável de ambiente USER ao binário/usr/bin/loginsem uma limpeza adequada. O servidor passa literalmente o conteúdo que recebe do cliente como último argumento de login, e se esse conteúdo for interpretado como uma opção válida para login, você pode mudar seu comportamento.
Em particular, se um cliente envia a cadeia "-f root" como valor de USER e usa a opção de cliente telnet que envia variáveis de ambiente (por exemplo-aou-- login), o processo login recebe essa cadeia e a interpreta como opção- f, que instrui a login a marcar o usuário especificado como já autenticado. O resultado é uma entrada direta como root sem ser solicitada senha, o que explica por que a classificação do erro é tão alta.
A origem do problema pode ser rastreada até uma mudança no código realizado em 19 de março de 2015, que acabou fazendo parte da versão 1.9.3 lançada em maio desse mesmo ano. A descoberta foi recentemente relatada pelo pesquisador identificado como Kyu Neushwaistein (também conhecido como Carlos Cortes Alvarez) e comunicado publicamente pelo colaborador GNU Simon Josefsson na lista de correio oss-security. A entrada oficial do NIST descreve o problema e classifica-o como uma vulnerabilidade que permite contornar a autenticação remota; pode ser consultada na base de dados de vulnerabilidades. NVD – CVE-2026-24061.
Para os administradores e responsáveis pela segurança existem duas mensagens claras: primeiro, verifique se o seu ambiente executa versões afetadas da GNU InetUtils (desde a 1.9.3 até a 2.7 inclusive); segundo, aplicar adesivos ou atualizar a uma versão corrigida logo que estejam disponíveis. A página do projeto GNU Inetutils fornece informações sobre o software e seus componentes em GNU Inetutils, e o manual telnetd ajuda a entender o comportamento esperado do demônio.
Como soluções imediatas e paliativas, recomenda-se restringir o acesso ao porto Telnet por meio de regras de corta-fogos ou listas de controlo de acesso, desativar o serviço telnetd quando não for imprescindível e, se for imprescindível, configure-o para que use uma versão de login que não admita a opção- fou que valide estritamente seus argumentos. Outra alternativa temporária é substituir o executável login por uma embalagem que filtre a variável USER antes de chamá-lo. Estas medidas reduzem a exposição enquanto as actualizações definitivas são divulgadas.
Para além do sistema e das contramedidas técnicas, convém auditar os sistemas por sinais de exploração. Rever os registos de acesso e os registos de login, verificar arquivos de auditoria e procurar processos ou contas recém-criados com privilégios elevados são ações obrigadas se se suspeita que o sistema pode ter sido violado. Em ambientes com telemetria ou IDS/IPS, criar assinaturas ou regras específicas para detectar cadeias suspeitas enviadas em variáveis de ambiente pode ajudar a identificar tentativas de exploração.
Indicadores de actividade já foram observados na natureza. A assinatura de inteligência de ameaças GreyNoise registra tentativas desta exploração: nas últimas 24 horas foram detectados 21 endereços IP diferentes tentando explorar o bypass através da opção- fem telnetd, e esses IPs provêm de vários países e foram marcados como maliciosas. Os dados e visualizações desses eventos estão disponíveis no painel de GreyNoise em GreyNoise – tentativas detectadas e nas consultas públicas GreyNoise – detalhes por IP.
Este incidente destaca dois ensinamentos importantes: por um lado, como uma linha de código aparentemente inocua e uma validação insuficiente podem tornar-se uma lacuna grave que perdura anos; por outro, a necessidade de reduzir a dependência de serviços inseguros por design, como Telnet, em favor de alternativas que ofereçam criptografia e controles modernos, por exemplo SSH. A curto prazo, aplicar adesivos e limitar o acesso à rede são as melhores defesas. A médio e longo prazo, planear migrações fora de serviços obsoletos e reforçar práticas de revisão de código e testes de segurança ajudará a evitar que erros semelhantes permaneçam sem detectar durante tanto tempo.
Para se manter informado e aceder às referências técnicas referidas neste artigo: a descrição da falha e a sua avaliação na NVD está em NVD – CVE-2026-24061, a discussão técnica e a notificação na lista oss-security aparece em oss-security, o commit que introduziu a mudança está disponível no repositório Codeberg – commit de 19-mar-2015, e para continuar a actividade de exploração pública, consultar a telemetria de GreyNoise em GreyNoise. Se você gere sistemas que possam ser afetados, prioriza a mitigação e a verificação forense antes de reativar qualquer serviço desativado.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...
PinTheft o exploit público que pode ser root no Arch Linux
Um novo exploit público levou à superfície novamente a fragilidade do modelo de privilégios no Linux: a equipe de V12 Security baniu a falha como PinTheft e publicou um teste de...