Telnet dimenticato: una falla critica espone 800 mila server, attacchi già in corso

La vulnerabilità CVE-2026-24061, valutata con un punteggio CVSS di 9.8, interessa il demone telnetd incluso nella suite GNU InetUtils, nelle versioni dalla 1.9.3 del 2015 fino alla 2.7. La falla è dovuta all'assenza di un controllo adeguato sulla variabile d’ambiente USER, passata al processo /usr/bin/login. In questo modo un attaccante remoto può sfruttare l’opzione -a di Telnet per impostare la variabile su -f root, aggirando completamente il meccanismo di autenticazione e ottenendo accesso diretto con privilegi di amministratore.

GNU InetUtils è una suite che comprende utility di rete storiche come telnet, ftp e ping, ancora oggi presenti in molte distribuzioni Linux e in numerosi dispositivi embedded, spesso caratterizzati da cicli di aggiornamento molto lenti.

Esposizione globale dei server Telnet

Secondo i dati della Shadowserver Foundation, circa 800.000 indirizzi IP risultano esporre servizi Telnet su Internet. La maggiore concentrazione si registra in Asia, con oltre 380.000 sistemi, seguita dal Sud America con 170.000 e dall'Europa con più di 100.000. Il CEO dell’organizzazione, Piotr Kijewski, ha ribadito che servizi di questo tipo non dovrebbero essere accessibili pubblicamente, soprattutto quando presenti su dispositivi IoT legacy.

Nonostante sia da tempo considerato non sicuro e formalmente sostituito da SSH, Telnet continua a essere utilizzato in contesti industriali, ambienti OT e su apparati obsoleti come telecamere e sensori, dove gli aggiornamenti risultano complessi o impraticabili senza causare interruzioni operative.

Primi exploit osservati in the wild

GreyNoise ha individuato attività malevole a partire dal 21 gennaio, appena un giorno dopo il rilascio della patch. Sono stati rilevati 18 indirizzi IP unici coinvolti in circa 60 sessioni Telnet, con tentativi di sfruttamento della vulnerabilità nell'83% dei casi mirati all'account root.

Gli attacchi, in parte automatizzati e in parte manuali, includevano fasi di ricognizione successive allo sfruttamento e tentativi di distribuzione di malware in Python, falliti per l'assenza delle dipendenze necessarie sui sistemi compromessi. Sebbene il numero di exploit riusciti sia al momento contenuto, la semplicità della vulnerabilità e la disponibilità pubblica di un proof-of-concept aumentano sensibilmente il rischio di campagne su larga scala.

La raccomandazione è quella di applicare immediatamente le patch correttive (Patch 1 e Patch 2) ove possibile, disabilitare il servizio telnetd o, in alternativa, bloccare la porta TCP 23 tramite firewall. Negli ambienti critici, come quelli OT e ICS, è consigliata la migrazione verso protocolli più sicuri come SSH, tenendo conto delle inevitabili problematiche di compatibilità con sistemi legacy.