Uma vulnerabilidade crítica na autenticação dos servidores Telnet foi recentemente descoberta, expondo cerca de 800 mil endereços de IP a invasores. A falha afeta o telnetd do GNU InetUtils, um conjunto de ferramentas de rede amplamente utilizado em sistemas Linux. Esta vulnerabilidade, identificada como CVE-2026-24061, tornou-se um grave problema de segurança, pois permite que atacantes acessem sistemas sem a necessidade de senhas.
A descoberta dessa vulnerabilidade levou a empresa de segurança virtual Shadowserver a iniciar um monitoramento intensivo, identificando que a falha afeta versões do pacote desde a versão 1.9.3, lançada em 2015, até a versão 2.7. Somente recentemente, em 20 de janeiro deste ano, a falha foi corrigida na versão 2.8. Essa atualização surge como uma medida crucial para impedir que mais dispositivos permaneçam desprotegidos.
O impacto da vulnerabilidade já é percebido em diferentes continentes. Segundo Piotr Kijewski, CEO da Shadowserver, aproximadamente 380 mil dos endereços de IP vulneráveis estão localizados na Ásia, cerca de 170 mil na América do Sul e outros 100 mil na Europa. O real estado da segurança desses dispositivos ainda é incerto, pois muitos sistemas podem não ter sido atualizados, mantendo-se suscetíveis a ataques.
A falha grava no InetUtils GNU apresenta um desafio particular para muitos sistemas legados, que frequentemente operam com atualizações defasadas por anos. Isso significa que muitos dispositivos de Internet das Coisas, que dependem dessas ferramentas de rede essenciais, continuam vulneráveis se as atualizações não forem aplicadas prontamente. A vulnerabilidade começou a ser explorada no dia 21 de janeiro, um dia após a liberação do patch de segurança.
A exploração da falha é feita por meio de comandos de controle Telnet, que permitem a execução de comandos remotos. Essa técnica tem sido usada para acessar o shell dos sistemas comprometidos sem necessidade de qualquer autenticação. A maioria desses ataques tem como alvo o usuário de sistema ‘root’, potencializando o risco de controle total do dispositivo. Dados da GreyNoise indicam que grande parte dos ataques é automatizada, embora também ocorram tentativas manuais.
Após conseguirem acesso, os invasores tentaram utilizar scripts em Python para executar malwares nos sistemas comprometidos. No entanto, a falta de alguns diretórios e binários impediu a execução bem-sucedida desses códigos maliciosos. Para aqueles administradores que ainda não aplicaram a atualização necessária, é altamente recomendável desativar o serviço telnetd vulnerável ou bloquear a porta TCP 23 em todos os firewalls, como forma de mitigar perigos imediatos.