Uma falha de segurança crítica foi encontrada no daemon telnet InetUtils do sistema GNU, após 11 anos passando despercebida por pesquisadores da área. Acompanhada pelo número CVE-2026-24061, ela recebeu nota 9,8 de 10, classificando-a como nível crítico. A vulnerabilidade afeta todas as versões do InetUtils, da versão 1.9.3 até a 2.7.
A falha permite que hackers acessem servidores de terceiros sem necessidade de login, contornando a autenticação remota através da variável de ambiente USER. O problema foi descrito pela Base de Dados Nacional de Vulnerabilidades (NIST) dos Estados Unidos, e é considerado uma vulnerabilidade de dia zero (Zero-Day).
Detalhes da Vulnerabilidade
O servidor telnetd do GNU, segundo Simon Josefsson, colaborador do projeto, pode ser explorado para conceder acesso root total ao sistema alvo. A vulnerabilidade foi introduzida em um commit realizado em 19 de março de 2015, e se um cliente utilizar o valor de string -f root, ele será logado automaticamente como root, contornando qualquer autenticação.
Descoberta e Reação
A descoberta da vulnerabilidade foi feita por Kyu Neushwaistein (também conhecido como Carlos Cortes Alvarez) em 19 de janeiro de 2026. Nos últimos dias, a empresa de segurança GreyNoise relatou que ao menos 21 endereços de IP tentaram explorar a falha nas últimas 24 horas, com origens em países como Hong Kong, Estados Unidos, Japão, Países Baixos, China, Alemanha, Singapura e Tailândia.
Medidas de Mitigação
Para corrigir a falha, é recomendado que os usuários baixem os patches mais recentes e restrinjam o acesso de rede do port telnet apenas a clientes confiáveis. Como uma solução temporária, os usuários podem desabilitar o servidor telnetd ou utilizar ferramentas que customizem o login do telnetd InetUtils, evitando o uso do parâmetro -f.
Opinião
A descoberta dessa falha crítica no GNU levanta preocupações sobre a segurança de sistemas que utilizam o telnet, exigindo ações imediatas dos administradores para proteger dados sensíveis.
