Segui 
Un nuovo giorno, una nuova sfida per i difensori informatici. Subito dopo la divulgazione di una pericolosa vulnerabilità zero-day nei prodotti di gestione delle comunicazioni unificate di Cisco (CVE-2026-20045), i ricercatori di sicurezza hanno individuato un nuovo bug che era passato inosservato per 11 anni. Un grave problema di bypass dell’autenticazione (CVE-2026-24061) colpisce il demone telnet (telnetd) di GNU InetUtils, consentendo ad attaccanti remoti di elevare i propri privilegi a root sul sistema interessato.
In particolare, i ricercatori dell’azienda di intelligence sulle minacce GreyNoise osservano che più di 20 IP unici hanno tentato di effettuare attacchi di bypass dell’autenticazione sfruttando CVE-2026-24061 nell’ultimo giorno.
Registrati alla piattaforma SOC Prime per accedere alla più grande collezione al mondo di intelligence di rilevamento in tempo reale, supportata da una suite di prodotti completa che va dal rilevamento alla simulazione. Clicca su Esplora i Rilevamenti per accedere a un ampio set di regole per il rilevamento dello sfruttamento delle vulnerabilità, pre-filtrate utilizzando il tag CVE personalizzato.
Tutte le regole sono compatibili con 40+ piattaforme SIEM, EDR e Data Lake e sono mappate al framework MITRE ATT&CK® v18.1. Inoltre, ogni regola viene fornita con ricchi metadati, inclusi CTI riferimenti, flussi di attacco, configurazioni di audit e altro ancora.
I professionisti della sicurezza possono inoltre sfruttare Uncoder AI per ottimizzare i loro sforzi di ingegneria del rilevamento. Genera regole comportamentali da rapporti di minacce grezzi, convalida la logica di rilevamento, visualizza il Flusso di Attacco, converte gli IOC in query di caccia, o traduci istantaneamente il codice di rilevamento in più lingue, tutto in un unico posto.
Analisi di CVE-2026-24061
Una nuova e semplice vulnerabilità di iniezione di argomenti scoperta nel GNU InetUtils telnetd consente agli attori delle minacce di bypassare l’autenticazione utilizzando il valore “-f root” nella variabile di ambiente USER. Di conseguenza, un attaccante remoto non autenticato potrebbe ottenere l’accesso alle istanze che eseguono i servizi telnetd affetti ed elevare i privilegi a root. Un exploit riuscito potrebbe consentire agli hacker di accedere a dati sensibili, modificare le configurazioni di sistema ed eseguire comandi arbitrari, potenzialmente portando alla compromissione totale del sistema.
Secondo il avviso di sicurezza, il problema si verifica perché il servizio telnetd invoca /usr/bin/login, che tipicamente viene eseguito con privilegi di root, e passa la variabile di ambiente USER fornita dal client come argomento senza adeguata sanitizzazione. Fornendo il valore “-f root” e utilizzando l’opzione telnet -a or --login , l’attaccante causa il salto dei controlli di autenticazione standard, risultando in un accesso automatico come root.
La vulnerabilità è stata introdotta da una modifica al codice sorgente commessa nel marzo 2015 e è apparsa per la prima volta nella versione 1.9.3 di GNU InetUtils. Rimasta inosservata per più di 11 anni, il difetto colpisce tutte le release di GNU InetUtils dalla versione 1.9.3 fino alla versione 2.7, inclusa.
Gli utenti che ancora utilizzano telnetd dovrebbero installare l’aggiornamento il più presto possibile. Per mitigare i rischi, gli esperti di sicurezza consigliano di limitare l’accesso alla porta telnet solo ai client fidati. Come misure temporanee, gli utenti possono anche disabilitare completamente il server telnetd o configurarlo per utilizzare un login utilità personalizzata che blocca il -f parametro, prevenendo accessi non autorizzati come root.
Inoltre, per rimanere sempre un passo avanti rispetto alle minacce emergenti, affidati alla PIattaforma AI-Nativa di Rilevamento delle Minacce di SOC Prime, che equipaggia i team SOC con tecnologie all’avanguardia per il rilevamento e la caccia delle minacce.
