Seguir 
Actualización (28 de enero de 2026): Este artículo ha sido actualizado para incluir un conjunto de reglas de detección dedicado a la explotación de CVE-2026-24061. Sumérgete en la visión general de la amenaza y accede a la colección de reglas actualizada, que ahora contiene 5 elementos de contenido.
Un nuevo día, un nuevo desafío para los defensores cibernéticos. Justo después de la divulgación de una desagradable vulnerabilidad de día cero en los productos de gestión de comunicación unificada de Cisco (CVE-2026-20045), los investigadores de seguridad detectaron un nuevo error que había pasado desapercibido durante 11 años. Un problema crítico de omisión de autenticación (CVE-2026-24061) afecta al demonio telnet de GNU InetUtils (telnetd), permitiendo a los atacantes remotos elevar sus privilegios a root en el sistema afectado.
Detectar intentos de explotación de CVE-2026-24061
Investigadores de la empresa de inteligencia de amenazas GreyNoise observan que más de 20 IPs únicas intentaron llevar a cabo ataques de omisión de autenticación explotando CVE-2026-24061 durante el último día.
Regístrate en la Plataforma SOC Prime para acceder a la colección de inteligencia de detección en tiempo real más grande del mundo, respaldada por una completa suite de productos que soportan desde la detección hasta la simulación. Haz clic en Explorar Detecciones y profundiza inmediatamente en un conjunto de contenido que aborda intentos de explotación de CVE-2026-24061.
Para aquellos interesados en explorar el conjunto completo de reglas y consultas relacionadas con la explotación de vulnerabilidades, nuestra extensa biblioteca de reglas Sigma está disponible para navegar con una etiqueta dedicada “CVE”.
Todas las reglas son compatibles con más de 40 plataformas SIEM, EDR y Data Lake y están mapeadas al marco de trabajo MITRE ATT&CK® versión 18.1. Además, cada regla viene acompañada de un amplio conjunto de metadatos, incluyendo referencias CTI, flujos de ataque, configuraciones de auditoría y más.
Los profesionales de la seguridad también pueden aprovechar Uncoder AI para optimizar sus esfuerzos de ingeniería de detección. Genera reglas de comportamiento a partir de informes de amenazas crudos, valida la lógica de detección, visualiza el flujo de ataque, convierte IOCs en consultas de caza, o traduce instantáneamente el código de detección a múltiples lenguajes, todo en un solo lugar.
Análisis de CVE-2026-24061
Una vulnerabilidad de inyección de argumentos simple recientemente divulgada en el telnetd de GNU InetUtils permite a los actores de amenazas omitir la autenticación usando el valor “-f root” en la variable de entorno USER. Como resultado, un atacante remoto no autenticado podría obtener acceso a instancias que ejecutan los servicios afectados de teltetd y escalar privilegios a root. La explotación exitosa puede permitir a los hackers acceder a datos sensibles, modificar configuraciones del sistema y ejecutar comandos arbitrarios, potencialmente conduciendo a un compromiso completo del sistema.
Según el aviso de seguridad, el problema ocurre porque el servicio telnetd invoca /usr/bin/login, que típicamente se ejecuta con privilegios de root, y pasa la variable de entorno USER suministrada por el cliente como un argumento sin la debida sanitización. Al suministrar el valor “-f root” y usar la opción de telnet -a o --login, el atacante hace que el inicio de sesión omita las comprobaciones de autenticación estándar, resultando en un inicio de sesión automático como root.
La vulnerabilidad fue introducida por un cambio de código fuente cometido en marzo de 2015 y apareció por primera vez en la versión 1.9.3 de GNU InetUtils. Sin ser detectada durante más de 11 años, la falla afecta a todas las versiones de GNU InetUtils desde la 1.9.3 hasta la versión 2.7, inclusive.
Los usuarios que aún ejecutan telnetd deben instalar la actualización lo antes posible. Para mitigar los riesgos, los expertos en seguridad aconsejan restringir el acceso al puerto telnet solo a clientes de confianza. Como medidas temporales, los usuarios también pueden desactivar el servidor telnetd por completo o configurarlo para usar una utilidad de login personalizada que bloquee el parámetro -f, evitando inicios de sesión root no autorizados.
Además, para estar siempre un paso adelante de las amenazas emergentes, confía en la Plataforma de Inteligencia de Detección Nativa de IA de SOC Prime, que equipa a los equipos SOC con tecnologías de vanguardia para la detección y búsqueda de amenazas.
