La vulnerabilidad CVE-2026-24061 en el componente servidor GNU InetUtils telnetd, evaluada con una puntuación de 9,8 en la escala CVSS, ya está siendo utilizada en ataques reales en Internet. En un contexto donde Telnet sigue presente en numerosas distribuciones Linux obsoletas y en dispositivos IoT, los datos de Shadowserver señalan cerca de 800 000 direcciones IP con el puerto Telnet expuesto, lo que crea un escenario propicio para compromisos masivos.
Qué es la vulnerabilidad CVE-2026-24061 en GNU InetUtils telnetd
GNU InetUtils es un conjunto de utilidades de red clásicas para sistemas tipo Unix, que incluye herramientas como telnet/telnetd, ftp/ftpd, rsh/rshd, ping y traceroute. Este paquete se integra desde hace años en múltiples distribuciones Linux y es frecuente en entornos embebidos e industriales donde el software rara vez se actualiza.
La vulnerabilidad CVE-2026-24061 afecta a las versiones de GNU InetUtils desde la 1.9.3 (publicada en 2015) hasta la 2.7. El error se ha corregido únicamente en la versión 2.8, liberada el 20 de enero de 2026, lo que implica que el fallo ha permanecido inadvertido durante casi 11 años. De acuerdo con bases de referencia como NVD (National Vulnerability Database), una puntuación CVSS de 9,8 indica un riesgo extremo de compromiso remoto sin interacción del usuario.
Cómo se explota: acceso root sin contraseña a través de Telnet
El problema reside en la forma en que telnetd establece la sesión. El demonio invoca el binario /usr/bin/login (que se ejecuta normalmente con privilegios de root) y le pasa el valor de la variable de entorno USER recibida del cliente como último argumento de línea de comandos.
Si el atacante envía un valor manipulado de USER, por ejemplo -f root, y el cliente Telnet se ejecuta con las opciones -a o --login, la herramienta login interpreta el flag -f como “autenticación de confianza”. En consecuencia, se omite la comprobación de contraseña y el atacante obtiene acceso directo como root en el sistema remoto.
La raíz del fallo es que telnetd no depura ni valida el contenido de la variable USER antes de entregarla a login. Este patrón —pasar argumentos no controlados a programas externos con privilegios elevados— ya ha provocado vulnerabilidades de ejecución remota de código (RCE) en otros servicios, pero en este caso el error se mantuvo durante años sin ser detectado.
Impacto global: Telnet expuesto, sistemas Linux heredados e IoT
Según Shadowserver Foundation, actualmente se observan en Internet casi 800 000 instancias de Telnet con huellas (“fingerprints”) típicas del protocolo. Más de 380 000 se concentran en Asia, cerca de 170 000 en Sudamérica y alrededor de 100 000 en Europa. La proporción exacta que ejecuta versiones vulnerables de GNU InetUtils telnetd aún no se conoce.
Los analistas subrayan que exponer Telnet directamente a Internet ya constituye una mala práctica de seguridad. Este protocolo transmite credenciales y datos en claro, sin cifrado, y se considera obsoleto desde hace años. Sin embargo, sigue muy extendido en routers SOHO, cámaras de videovigilancia, gateways industriales y otros dispositivos IoT, donde las actualizaciones de firmware son infrecuentes o inexistentes, aumentando la superficie de ataque.
Evidencias de explotación activa y primeros ataques documentados
Pocos días después de divulgarse la vulnerabilidad CVE-2026-24061, la firma de inteligencia de amenazas GreyNoise registró explotación real en Internet. La actividad maliciosa se detectó ya el 21 de enero, apenas un día después de la publicación del parche de seguridad.
Los datos de GreyNoise indican intentos de explotación procedentes de 18 direcciones IP, involucradas en al menos 60 sesiones Telnet. Los atacantes emplearon negociación de opciones Telnet IAC para inyectar el valor USER=-f <user>, logrando así un shell sin ninguna autenticación. En solo 24 horas se identificaron 21 IP únicas de origen, ubicadas en Hong Kong, Estados Unidos, Japón, Países Bajos, China, Alemania, Singapur y Tailandia.
La mayoría de los intentos parecían altamente automatizados, aunque en algunos casos se observó actividad manual, consistente con la presencia de un operador realizando análisis interactivo en los sistemas comprometidos. Tras obtener acceso, los atacantes trataron de desplegar malware en Python, precedido de tareas de reconocimiento automático (inventario de sistema, búsqueda de binarios y directorios adecuados). Aunque muchos de estos intentos iniciales fracasaron por entornos no previstos, la experiencia con botnets basadas en Telnet, como Mirai, muestra que estas campañas pueden evolucionar con rapidez.
Medidas de mitigación para CVE-2026-24061 y endurecimiento de Telnet
Acciones inmediatas para administradores y propietarios de dispositivos
Para reducir el riesgo asociado a la vulnerabilidad CVE-2026-24061, se recomiendan las siguientes medidas prioritarias:
- Actualizar a GNU InetUtils 2.8 o superior, donde el fallo ha sido corregido.
- Cuando la actualización no sea factible a corto plazo, deshabilitar el servicio telnetd en todos los sistemas donde no sea estrictamente imprescindible.
- Bloquear el puerto TCP 23 (Telnet) en cortafuegos perimetrales e internos, salvo en casos de necesidad operacional muy justificada.
- Como mitigación temporal, configurar telnetd para que utilice una implementación alternativa de
loginque no acepte el parámetro-f.
Adicionalmente, es recomendable activar monitorización de tráfico y registros para detectar intentos de conexión Telnet con opciones inusuales o patrones asociados a esta vulnerabilidad, facilitando una respuesta temprana ante posibles compromisos.
Estrategias a largo plazo para reforzar la ciberresiliencia
El caso de CVE-2026-24061 ilustra el impacto del “deuda técnica” en infraestructura crítica. Para mitigar riesgos de forma sostenida, conviene:
- Eliminar Telnet siempre que sea posible y migrar a SSH u otros protocolos de administración cifrados.
- Implantar procesos regulares de actualización de firmware y software en servidores y dispositivos IoT, con control específico sobre versiones heredadas.
- Realizar auditorías periódicas de puertos y servicios expuestos, mediante escáneres internos y soluciones externas de descubrimiento de activos.
- Aplicar segmentación de red y principio de mínimo privilegio para aislar los equipos que no puedan actualizarse con rapidez.
La combinación de código antiguo, un protocolo inseguro como Telnet y años sin mantenimiento adecuado convierte a CVE-2026-24061 en un recordatorio claro de los riesgos actuales en ciberseguridad. Organizaciones y usuarios deberían revisar cuanto antes su infraestructura en busca de servicios Telnet expuestos, aplicar los parches disponibles o desactivar el servicio vulnerable, y reforzar sus procesos de gestión de vulnerabilidades. Esta aproximación proactiva no solo reduce la probabilidad de explotación de este fallo concreto, sino que también limita el impacto de futuras vulnerabilidades en componentes de red fundamentales.
