Segui 
Aggiornamento (28 gennaio 2026): Questo articolo è stato aggiornato per includere un insieme di regole di rilevamento dedicate alla sfruttamento di CVE-2026-24061. Esplora la panoramica della minaccia e accedi alla raccolta di regole aggiornata, che ora contiene 5 elementi di contenuto.
Un nuovo giorno, una nuova sfida per i difensori informatici. Subito dopo la divulgazione di una grave vulnerabilità zero-day nei prodotti di gestione della comunicazione unificata di Cisco (CVE-2026-20045), i ricercatori di sicurezza hanno individuato un nuovo bug che era passato inosservato per 11 anni. Un problema critico di bypass dell’autenticazione (CVE-2026-24061) colpisce il daemon telnet di GNU InetUtils (telnetd), consentendo agli attaccanti remoti di elevare i loro privilegi a root sul sistema colpito.
Rilevare Tentativi di Sfruttamento di CVE-2026-24061
I ricercatori dell’azienda di intelligence sulle minacce GreyNoise osservano che più di 20 IP unici hanno tentato di proseguire con attacchi di bypass dell’autenticazione sfruttando CVE-2026-24061 nell’ultimo giorno.
Registrati per la piattaforma SOC Prime per accedere alla più grande collezione di intelligence di rilevamento in tempo reale al mondo, supportata da un suite di prodotti completa che copre tutto, dal rilevamento alla simulazione. Clicca su Esplora Rilevamenti e approfondisci immediatamente una pila di contenuti che affronta i tentativi di sfruttamento di CVE-2026-24061.
Per coloro interessati a esplorare l’intero set di regole e query relative allo sfruttamento delle vulnerabilità, la nostra vasta libreria di regole Sigma è disponibile per la consultazione con un tag dedicato “CVE”.
Tutte le regole sono compatibili con oltre 40 piattaforme SIEM, EDR e Data Lake e sono mappate al framework MITRE ATT&CK® versione 18.1. Inoltre, ciascuna regola è fornita con ampi metadati, inclusi riferimenti CTI, flussi di attacco, configurazioni di audit e altro ancora.
I professionisti della sicurezza possono anche sfruttare Uncoder AI per ottimizzare i loro sforzi di ingegneria del rilevamento. Genera regole di comportamento da rapporti di minacce grezze, valida la logica di rilevamento, visualizza il Flusso di Attacco, converte gli IOC in query di ricerca o traduci istantaneamente il codice di rilevamento tra più lingue – tutto in un unico posto.
Analisi di CVE-2026-24061
Una nuova vulnerabilità di iniezione di semplici argomenti nel GNU InetUtils telnetd consente agli attori delle minacce di bypassare l’autenticazione utilizzando il valore “-f root” nella variabile d’ambiente USER. Di conseguenza, un attaccante remoto non autenticato potrebbe ottenere l’accesso alle istanze che eseguono i servizi telnetd colpiti ed elevare i privilegi a root. Lo sfruttamento riuscito può consentire agli hacker di accedere a dati sensibili, modificare configurazioni di sistema ed eseguire comandi arbitrari, potenzialmente portando al compromesso completo del sistema.
Secondo l’avviso di sicurezza, il problema si verifica perché il servizio telnetd invoca /usr/bin/login, che tipicamente viene eseguito con privilegi di root, e passa la variabile d’ambiente USER fornita dal client come argomento senza una corretta sanitizzazione. Fornendo il valore “-f root” e utilizzando l’opzione telnet -a o --login, l’attaccante causa il salto dei controlli di autenticazione standard da parte del login, risultando in un login automatico come root.
La vulnerabilità è stata introdotta da un cambio del codice sorgente commesso a marzo 2015 e apparso per la prima volta nella versione 1.9.3 di GNU InetUtils. Rimasta inosservata per più di 11 anni, la falla colpisce tutte le release di GNU InetUtils dalla versione 1.9.3 fino alla versione 2.7, inclusa.
Gli utenti che eseguono ancora telnetd dovrebbero installare l’aggiornamento il prima possibile. Per mitigare i rischi, gli esperti di sicurezza consigliano di limitare l’accesso alla porta telnet solo ai client fidati. Come misure temporanee, gli utenti possono anche disabilitare completamente il server telnetd o configurarlo per utilizzare un’utilità di login personalizzata che blocca il parametro -f, prevenendo accessi root non autorizzati.
Inoltre, per rimanere sempre al passo con le minacce emergenti, affidati alla Piattaforma di Intelligence di Rilevamento AI-Nativa di SOC Prime, che fornisce ai team SOC tecnologie all’avanguardia per il rilevamento e la caccia alle minacce.
