Seguir 
Atualização (28 de janeiro de 2026): Este artigo foi atualizado para apresentar um conjunto de regras de detecção dedicado ao foco na exploração do CVE-2026-24061. Mergulhe na visão geral da ameaça e acesse a coleção de regras atualizada, que agora contém 5 itens de conteúdo.
Um novo dia, um novo desafio para os defensores cibernéticos. Logo após a divulgação de uma vulnerabilidade zero-day desagradável nos produtos de gerenciamento de comunicação unificada da Cisco (CVE-2026-20045), pesquisadores de segurança identificaram um novo bug que passou despercebido por 11 anos. Um problema crítico de bypass de autenticação (CVE-2026-24061) afeta o daemon telnet do GNU InetUtils (telnetd), permitindo que invasores remotos elevem seus privilégios para root no sistema afetado.
Detectar Tentativas de Exploração do CVE-2026-24061
Pesquisadores da empresa de inteligência de ameaças GreyNoise observaram que mais de 20 IPs únicos tentaram realizar ataques de bypass de autenticação explorando o CVE-2026-24061 no último dia.
Cadastre-se na Plataforma SOC Prime para acessar a maior coleção de inteligência de detecção em tempo real do mundo, apoiada por um conjunto de produtos abrangente que suporta tudo, desde detecção até simulação. Clique em Explorar Detecções e vá diretamente para um conjunto de conteúdo que aborda tentativas de exploração do CVE-2026-24061.
Para aqueles interessados em explorar o conjunto completo de regras e consultas relacionadas à exploração de vulnerabilidades, nossa extensa biblioteca de regras Sigma está disponível para navegação com a tag dedicada “CVE”.
Todas as regras são compatíveis com mais de 40 plataformas SIEM, EDR e Data Lake e são mapeadas para o framework MITRE ATT&CK® v18.1. Além disso, cada regra vem com metadados abrangentes, incluindo referências CTI, fluxos de ataque, configurações de auditoria e mais.
Profissionais de segurança também podem utilizar o Uncoder AI para otimizar seus esforços de engenharia de detecção. Gere regras de comportamento a partir de relatórios de ameaças brutas, valide a lógica de detecção, visualize o Attack Flow, converta IOCs em consultas de caça ou traduza instantaneamente o código de detecção entre vários idiomas – tudo em um só lugar.
Análise do CVE-2026-24061
Uma nova vulnerabilidade de injeção de argumento simples divulgada no telnetd do GNU InetUtils permite que atores de ameaça ignorem a autenticação usando o valor “-f root” na variável de ambiente USER. Consequentemente, um invasor remoto não autenticado pode obter acesso a instâncias que executam os serviços afetados do telnetd e escalar privilégios para root. A exploração bem-sucedida pode permitir que hackers acessem dados sensíveis, modifiquem configurações do sistema e executem comandos arbitrários, potencialmente levando à total comprometimento do sistema.
De acordo com o aviso de segurança, o problema ocorre porque o serviço telnetd invoca /usr/bin/login, que normalmente é executado com privilégios de root, e passa a variável de ambiente USER fornecida pelo cliente como um argumento sem a devida sanitização. Ao fornecer o valor “-f root” e usar a opção -a ou --login no telnet, o invasor faz com que o login ignore as verificações de autenticação padrão, resultando em um login automático como root.
A vulnerabilidade foi introduzida por uma alteração no código-fonte cometida em março de 2015 e apareceu pela primeira vez na versão 1.9.3 do GNU InetUtils. Permanecendo sem detecção por mais de 11 anos, a falha afeta todas as versões do GNU InetUtils da versão 1.9.3 até a versão 2.7, inclusive.
Usuários que ainda executam o telnetd devem instalar a atualização o mais rápido possível. Para mitigar os riscos, especialistas em segurança aconselham restringir o acesso à porta telnet apenas a clientes confiáveis. Como medidas temporárias, os usuários também podem desativar totalmente o servidor telnetd ou configurá-lo para usar uma utilidade login personalizada que bloqueie o parâmetro -f, prevenindo logins não autorizados como root.
Além disso, para sempre estar à frente das ameaças emergentes, confie na Plataforma de Inteligência de Detecção Nativa de IA da SOC Prime, que equipa as equipes SOC com tecnologias de ponta para detecção e caça de ameaças.
