Seguir 
Um novo dia, um novo desafio para os defensores cibernéticos. Logo após a divulgação de uma vulnerabilidade zero-day desagradável nos produtos de gestão de comunicação unificada da Cisco (CVE-2026-20045), pesquisadores de segurança descobriram um novo erro que passou despercebido por 11 anos. Uma questão crítica de bypass de autenticação (CVE-2026-24061) afeta o daemon telnet do GNU InetUtils (telnetd), permitindo que invasores remotos elevem seus privilégios para root no sistema afetado.
Notavelmente, pesquisadores da empresa de inteligência de ameaças GreyNoise observaram que mais de 20 IPs únicos tentaram realizar ataques de bypass de autenticação explorando o CVE-2026-24061 no último dia.
Registre-se na Plataforma SOC Prime para acessar a maior coleção de inteligência de detecção em tempo real do mundo, apoiada por um conjunto completo de produtos que suportam tudo, desde detecção até simulação. Clique em Explorar Detecções para acessar um conjunto extenso de regras para detecção de exploração de vulnerabilidades, pré-filtrado usando a tag CVE personalizada.
Todas as regras são compatíveis com mais de 40 plataformas SIEM, EDR e Data Lake e são mapeadas para o MITRE ATT&CK® framework v18.1. Além disso, cada regra vem repleta de metadados abrangentes, incluindo CTI referências, fluxos de ataque, configurações de auditoria e mais.
Os profissionais de segurança também podem utilizar Uncoder AI para otimizar seus esforços de engenharia de detecção. Gere regras de comportamento a partir de relatórios de ameaças brutas, valide a lógica de detecção, visualize o Fluxo de Ataque, converta IOCs em consultas de caça ou traduza instantaneamente o código de detecção em vários idiomas – tudo em um só lugar.
Análise do CVE-2026-24061
Uma nova vulnerabilidade de injeção de argumento simples divulgada no telnetd do GNU InetUtils permite que atores de ameaça contornem a autenticação usando o valor “-f root” na variável de ambiente USER. Consequentemente, um invasor remoto não autenticado pode obter acesso a instâncias executando os serviços afetados do telnetd e escalar privilégios para root. A exploração bem-sucedida pode permitir que hackers acessem dados sensíveis, modifiquem configurações do sistema e executem comandos arbitrários, levando potencialmente a uma violação completa do sistema.
De acordo com o aviso de segurança, o problema ocorre porque o serviço telnetd invoca /usr/bin/login, que geralmente é executado com privilégios de root, e passa a variável de ambiente USER fornecida pelo cliente como um argumento sem a devida sanitização. Ao fornecer o valor “-f root” e usar a opção -a or --login , o atacante faz com que o login ignore as verificações de autenticação padrão, resultando em um login automático como root.
A vulnerabilidade foi introduzida por uma alteração no código-fonte realizada em março de 2015 e apareceu pela primeira vez na versão 1.9.3 do GNU InetUtils. Permanecendo não detectada por mais de 11 anos, a falha afeta todas as versões de GNU InetUtils desde a versão 1.9.3 até a versão 2.7, inclusive.
Os usuários que ainda estão executando telnetd devem instalar a atualização o mais rápido possível. Para mitigar os riscos, os especialistas em segurança aconselham restringir o acesso à porta telnet apenas a clientes confiáveis. Como medidas temporárias, os usuários também podem desativar totalmente o servidor telnetd ou configurá-lo para usar uma utilitário de login personalizado que bloqueia o -f parâmetro, impedindo logins não autorizados como root.
Além disso, para sempre estar à frente de ameaças emergentes, confie na Plataforma de Inteligência de Detecção Nativa de IA da SOC Prime, que equipa equipes SOC com tecnologias de ponta para detecção e caça de ameaças.
