Recientemente se ha descubierto una vulnerabilidad de alta criticidad en el paquete GNU Inetutils, que es una colección de herramientas de red y está presente en numerosas distribuciones Linux. El fallo, identificado como CVE-2026-24061, afecta al demonio de telnet (telnetd) y permite el acceso remoto sin necesidad de realizar el proceso de autenticación, pudiendo elegir el usuario con el que ingresar al equipo.

¿Cómo funciona el proceso de autenticación de telnetd?

Para comprender la vulnerabilidad, primero debemos analizar el comportamiento legítimo del servicio. Como podemos observar en la siguiente imagen, cuando un usuario inicia una conexión contra un servidor Telnet, el demonio invoca al ejecutable del sistema /bin/login pasándole los siguientes parámetros:

• -p: Indica al binario /bin/login que mantega la tty establecida en el equipo actual para la nueva sesión.
• -h: El servidor sobre el que se realiza la autenticación, en este caso se emplea localhost.

En la parte final de los argumentos del comando, vemos el nombre del usuario que autentica contra el servidor Telnet.

El parámetro -l puede ser utilizado para especificar el usuario sobre el que se quiere autenticar.

¿Cómo se explota el CVE-2026-24061?

La vulnerabilidad consiste en una inyección de argumentos arbitrarios sobre el proceso de autenticación de Telnet. Al no existir una limpieza de las variables de entorno, es posible romper la estructura del comando original. En la captura podremos ver cómo los parámetros de la llamada al ejecutable /bin/login se ven alterados.

Al utilizar la cadena «-f root» como nombre del usuario, el binario /bin/login trata como nuevo argumento el parámetro -f, el cual permite omitir el proceso de autenticación e iniciar sesión como el usuario indicado.

Solución implementada

En el repositorio de GNU Inetutils se pueden ver los parches de emergencia lanzados para la corrección de esta vulnerabilidad.

• https://cgit.git.savannah.gnu.org/cgit/inetutils.git/commit/?id=fd702c02497b2f398e739e3119bed0b23dd7aa7b
• https://cgit.git.savannah.gnu.org/cgit/inetutils.git/commit/?id=ccba9f748aa8d50a38d7748e2e60362edd6a32cc

La corrección introduce la función sanitize(), encargada de validar la entrada y rechazar cadenas que inicien con ‘-‘ o incluyan caracteres especiales.

Mitigación

Actualizar GNU Inetutils a la versión 2.7-2 o superior. De no ser posible la aplicación del parche, es necesario mitigar el riesgo deshabilitando el servicio telnetd o bloqueando el puerto 23 en el firewall. A largo plazo, la estrategia debe centrarse en la erradicación del protocolo Telnet en favor de SSH, eliminando el servicio donde no sea estrictamente necesario y aislando los sistemas legacy imprescindibles mediante una estricta segmentación de red.

Referencias

• NVD – CVE-2026-24061: https://nvd.nist.gov/vuln/detail/CVE-2026-24061
• Ubuntu security – CVE-2026-24061: https://ubuntu.com/security/CVE-2026-24061
• login(1) — Linux manual page: https://man7.org/linux/man-pages/man1/login.1.html