Seguir 
Un nuevo día, un nuevo desafío para los defensores cibernéticos. Justo después de la divulgación de una desagradable vulnerabilidad de día cero en los productos de gestión de comunicación unificada de Cisco (CVE-2026-20045), los investigadores de seguridad descubrieron un nuevo error que había pasado desapercibido durante 11 años. Un problema crítico de omisión de autenticación (CVE-2026-24061) afecta al demonio telnet de GNU InetUtils (telnetd), permitiendo a atacantes remotos elevar sus privilegios a root en el sistema afectado.
Notablemente, los investigadores de la compañía de inteligencia de amenazas GreyNoise observan que más de 20 IPs únicas intentaron proceder con ataques de omisión de autenticación explotando CVE-2026-24061 en el último día.
Regístrese en la Plataforma SOC Prime para acceder a la mayor colección de inteligencia de detección en tiempo real del mundo, respaldada por una suite de productos integral que apoya todo, desde detección hasta simulación. Haga clic en Explorar Detecciones para acceder a un extenso conjunto de reglas para la detección de explotación de vulnerabilidades, prefiltrado con la etiqueta CVE personalizada.
Todas las reglas son compatibles con más de 40 plataformas SIEM, EDR y Data Lake y están mapeadas al marco MITRE ATT&CK® v18.1. Además, cada regla viene equipada con amplios metadatos, incluyendo CTI referencias, flujos de ataque, configuraciones de auditoría y más.
Los profesionales de seguridad también pueden aprovechar Uncoder AI para agilizar sus esfuerzos de ingeniería de detección. Genere reglas de comportamiento a partir de informes de amenazas sin procesar, valide la lógica de detección, visualice el Flujo de Ataque, convierta IOC en consultas de caza o traduzca instantáneamente el código de detección a través de múltiples idiomas, todo en un solo lugar.
Análisis de CVE-2026-24061
Una nueva vulnerabilidad de inyección de argumento simple revelada en el telnetd de GNU InetUtils permite a actores de amenazas omitir la autenticación usando el valor “-f root” en la variable de entorno USER. En consecuencia, un atacante remoto no autenticado podría obtener acceso a instancias que ejecutan los servicios telnetd afectados y escalar privilegios a root. La explotación exitosa puede permitir a los hackers acceder a datos sensibles, modificar configuraciones del sistema y ejecutar comandos arbitrarios, lo que podría llevar a un compromiso total del sistema.
Según el aviso de seguridad, el problema ocurre porque el servicio telnetd invoca /usr/bin/login, que normalmente se ejecuta con privilegios de root, y pasa la variable de entorno USER suministrada por el cliente como un argumento sin la sanitización adecuada. Al proporcionar el valor “-f root” y usar la opción telnet -a or --login , el atacante provoca que el inicio de sesión omita las comprobaciones de autenticación estándar, resultando en un inicio de sesión automático como root.
La vulnerabilidad fue introducida por un cambio en el código fuente comprometido en marzo de 2015 y apareció por primera vez en la versión 1.9.3 de GNU InetUtils. Permaneciendo sin detectar durante más de 11 años, el defecto afecta a todas las versiones de GNU InetUtils desde la versión 1.9.3 hasta la versión 2.7, inclusive.
Los usuarios que aún ejecutan telnetd deberían instalar la actualización lo antes posible. Para mitigar los riesgos, los expertos en seguridad aconsejan restringir el acceso al puerto telnet solo a clientes de confianza. Como medidas temporales, los usuarios también pueden deshabilitar el servidor telnetd por completo o configurarlo para usar una utilidad login personalizada que bloquee el -f parámetro, previniendo inicios de sesión no autorizados como root.
Además, para mantenerse siempre por delante de las amenazas emergentes, confíe en la Plataforma de Inteligencia de Detección Nativa de IA de SOC Prime, que equipa a los equipos SOC con tecnologías de vanguardia para la detección y caza de amenazas.
