CVE-2026-24061 permet un accès root immédiat sans authentification sur tout serveur GNU telnetd. CVSS 9.8, exploitation active confirmée par le CISA.
TL;DR — En résumé
CVE-2026-24061 touche GNU InetUtils telnetd versions 1.9.3 à 2.7. Exploitation active confirmée : accès root sans authentification.
En bref
- CVE-2026-24061 (CVSS 9.8) : contournement total de l'authentification dans GNU InetUtils telnetd, permettant un accès root immédiat à distance
- Versions affectées : GNU InetUtils 1.9.3 à 2.7, soit plus de 212 000 serveurs Telnet exposés sur Internet selon les données Shodan
- Action urgente : mettre à jour vers InetUtils 2.7-2+, désactiver telnetd si non indispensable, bloquer le port 23 en périmétrique
Les faits
CVE-2026-24061, publiée le 20 janvier 2026 et notée 9.8 sur l'échelle CVSS v3.1, affecte le démon telnetd inclus dans GNU InetUtils, de la version 1.9.3 à la version 2.7. La faille réside dans le traitement de la variable d'environnement USER transmise via le protocole Telnet. Le démon insère directement cette valeur dans les arguments de la commande /usr/bin/login sans aucune validation. En positionnant la variable USER sur la chaîne -f root, un attaquant force l'utilisation du drapeau -f de login, qui désactive totalement l'authentification par mot de passe et octroie immédiatement un shell root. Le vecteur d'attaque est trivial : aucune authentification, aucune interaction utilisateur, complexité d'attaque basse. La vulnérabilité a été découverte par des chercheurs de OffSec et confirmée par le NVD avec le score maximal en confidentialité, intégrité et disponibilité.
Le CISA a ajouté cette CVE à son catalogue KEV (Known Exploited Vulnerabilities) en raison de preuves d'exploitation active dans la nature. Le Centre canadien pour la cybersécurité a également émis l'alerte AL26-002 spécifique à cette vulnérabilité. D'après les analyses de TXOne Networks, trois vagues d'attaques distinctes ont été observées depuis le 22 janvier 2026, avec une progression de la reconnaissance passive vers l'exploitation active par le groupe threat actor « rwxrwx ».
Impact et exposition
Toute organisation exploitant un service telnetd basé sur GNU InetUtils est potentiellement exposée. Cela inclut de nombreux systèmes embarqués, équipements réseau, appliances OT/ICS et distributions Linux qui maintiennent encore telnetd dans leurs dépôts. Selon les données Shodan, plus de 212 000 appareils exposent actuellement un serveur Telnet sur Internet, et environ un million d'appareils écoutent sur le port 23. L'exploitation ne requiert aucun prérequis : ni compte utilisateur, ni interaction, ni connaissance préalable de la cible. Un attaquant obtient un shell root complet en une seule requête, ce qui permet l'exfiltration de données, l'installation de portes dérobées, le pivot vers d'autres systèmes du réseau et la perturbation complète des services. Les environnements industriels et OT sont particulièrement à risque car telnetd y est souvent maintenu pour des raisons de compatibilité avec des équipements anciens.
Recommandations immédiates
- Mettre à jour GNU InetUtils vers la version 2.7-2 ou ultérieure — les correctifs sont disponibles via les gestionnaires de paquets des principales distributions Linux
- Désactiver immédiatement le service telnetd si celui-ci n'est pas strictement nécessaire et migrer vers SSH pour l'administration distante
- Bloquer le port TCP 23 au niveau du pare-feu périmétrique et des ACL réseau pour empêcher tout accès Telnet depuis l'extérieur
- Si telnetd doit être maintenu temporairement, restreindre l'accès aux seules adresses IP de confiance et configurer un outil de login personnalisé qui refuse le drapeau
-f - Rechercher des IOC dans les journaux système : connexions Telnet inhabituelles, sessions root non autorisées, présence de fichiers suspects dans
/tmp
⚠️ Urgence
Exploitation active confirmée par le CISA (catalogue KEV). Le groupe « rwxrwx » cible activement les serveurs telnetd exposés. L'exploitation est triviale et donne un accès root immédiat sans authentification. Appliquez le correctif ou désactivez telnetd dans les plus brefs délais.
Comment savoir si je suis vulnérable ?
Vérifiez si telnetd est actif sur vos systèmes avec la commande systemctl status inetd ou netstat -tlnp | grep :23. Si le port 23 est en écoute, identifiez la version de GNU InetUtils avec telnetd --version ou dpkg -l inetutils-telnetd sur Debian/Ubuntu. Toute version antérieure à 2.7-2 est vulnérable. Vous pouvez également tester la faille en environnement isolé avec la commande telnet [IP] -l "-f root" — si un shell root s'ouvre sans mot de passe, le système est compromis.
Votre infrastructure est-elle exposée ?
Ayi NEDJIMI réalise des audits ciblés pour identifier et corriger vos vulnérabilités.
Articles connexes :
À propos de l'auteur
Ayi NEDJIMI
Auditeur Senior Cybersécurité & Consultant IA
Expert Judiciaire — Cour d'Appel de Paris
Habilitation Confidentiel Défense
[email protected]
Ayi NEDJIMI est un vétéran de la cybersécurité avec plus de 25 ans d'expérience sur des missions critiques. Ancien développeur Microsoft à Redmond sur le module GINA (Windows NT4) et co-auteur de la version française du guide de sécurité Windows NT4 pour la NSA.
À la tête d'Ayi NEDJIMI Consultants, il réalise des audits Lead Auditor ISO 42001 et ISO 27001, des pentests d'infrastructures critiques, du forensics et des missions de conformité NIS2 / AI Act.
Conférencier international (Europe & US), il a formé plus de 10 000 professionnels.
Domaines d'expertise
Ressources & Outils de l'auteur
Testez vos connaissances
Mini-quiz de certification lié à cet article — propulsé par CertifExpress
Articles connexes
CVE-2026-25089 : RCE non-auth FortiSandbox CVSS 9.8 urgent
CVE-2026-25089 est une injection de commandes OS non authentifiée dans l'interface Web de FortiSandbox (CVSS 9.8 Critical). Sans credentials, un attaquant exécute du code en root. Patch FortiSandbox 5.0.6 et 4.4.9 disponible — juillet 2026.
CVE-2026-45659 : SharePoint RCE CVSS 8.8 Storm-2603 actif
CVE-2026-45659, deserialisation RCE dans SharePoint Server on-premises (CVSS 8.8), est activement exploitee par Storm-2603 pour deployer le ransomware Warlock. CISA KEV depuis le 1er juillet 2026. Patch critique disponible depuis mai 2026.
Patch Tuesday Juillet 2026 : CVE-2025-47981 NEGOEX CVSS 9.8
Le Patch Tuesday du 14 juillet 2026 publie 127 correctifs dont CVE-2025-47981, une faille wormable CVSS 9.8 dans le mecanisme NEGOEX/SPNEGO de Windows — priorite absolue pour tous les systemes Windows depuis Server 2008.
Un projet cybersécurité ? Parlons-en.
Pentest, conformité NIS 2, ISO 27001, audit IA, RSSI externalisé… nos experts répondent sous 24h pour évaluer votre besoin et vous proposer un accompagnement sur mesure.
Commentaires
Aucun commentaire pour le moment. Soyez le premier à commenter !
Laisser un commentaire