A falha representada pelo CVE-2026-24061 possui CVSS 9.8 e pode resultar na execução de código remota sem autenticação, estando presente no serviço telnetd da suíte GNU InetUtils. O servidor telnet vem frequentemente incluído em sistemas Unix/Linux e dispositivos mais antigos.

Onde foi detetada

A falha resulta da falta de validação de variáveis de ambiente. o telnetd aceita o valor da variável USER fornecido pelo cliente sem a devida sanitização. Um atacante pode enviar o valor especial -f root, que é transmitido ao programa login do sistema. O login interpreta -f como sinal para ignorar a autenticação e iniciar sessão direta como root. Dest a forma, o atacante pode entrar na instância como root fazendo USER="-f root" telnet -a <ip>

Deteção no sentinel com KQL:

AzureNetworkAnalytics_CL

| where Protocol == "23"

| where Payload contains "-f root"

DeviceProcessEvents

| where FileName == "login"

| where CommandLine contains "-f"

| where InitiatingProcessFileName == "telnetd"

Mitigação

• Atualizar para a versão GNU InetUtils 2.8 ou superior

• Caso não seja possível atualizar imediatamente, desativar o serviço ou bloquear a porta 23 na firewall

Referências

• Mais informações: https://www.thehackerwire.com/vulnerability/CVE-2026-24061/

• Mais detalhes do CVE: https://www.cvedetails.com/cve/CVE-2026-24061/