En bref

  • CVE-2026-32746 (CVSS 9.8) permet une exécution de code arbitraire en root sans authentification sur GNU InetUtils telnetd
  • Toutes les versions de telnetd jusqu à la 2.7 sont affectées — aucun patch officiel disponible à ce jour
  • Désactiver immédiatement le service telnetd et migrer vers SSH si ce n est pas déjà fait

Les faits

La société israélienne Dream Security a révélé le 11 mars 2026 une vulnérabilité critique dans le démon telnet de GNU InetUtils. Référencée CVE-2026-32746 avec un score CVSS maximal de 9.8, cette faille permet à un attaquant distant non authentifié d exécuter du code arbitraire avec les privilèges root en envoyant un message Telnet spécialement conçu sur le port 23, avant même qu une invite de connexion ne s affiche.

Le problème réside dans le gestionnaire de sous-option LINEMODE Set Local Characters (SLC). Un débordement de tampon de type out-of-bounds write dans un buffer BSS de taille fixe permet de corrompre la mémoire lors du handshake initial Telnet. Un PoC fonctionnel est déjà disponible publiquement, ce qui rend l exploitation triviale. Le correctif officiel est attendu au plus tard le 1er avril 2026, selon les mainteneurs de GNU InetUtils.

Impact et exposition

Bien que Telnet soit considéré comme obsolète dans la plupart des environnements IT modernes, il reste largement déployé dans les systèmes industriels (ICS/OT), les équipements réseau legacy, les systèmes embarqués et certaines distributions Linux qui incluent encore GNU InetUtils par défaut. Selon les analyses de CyCognito, des milliers d instances telnetd exposées sur Internet sont potentiellement vulnérables. La nature pré-authentification de l exploit signifie qu aucune interaction utilisateur ni aucun identifiant n est requis — une simple connexion TCP sur le port 23 suffit.

Recommandations

  • Désactiver immédiatement le service telnetd sur tous les systèmes où il est actif et migrer vers SSH
  • Si la désactivation n est pas possible (environnements OT/ICS), isoler strictement le service derrière un pare-feu et restreindre l accès au port 23 aux seules IP autorisées
  • Scanner votre périmètre exposé à Internet pour identifier les instances telnetd oubliées (Shodan, Censys ou scan interne)
  • Surveiller les tentatives de connexion Telnet anormales dans vos logs réseau

Alerte critique

Un PoC d exploitation est public et aucun correctif n est disponible. Chaque instance telnetd exposée est une porte ouverte vers un accès root. La désactivation immédiate du service est la seule mesure efficace à ce stade.

Notre infrastructure n utilise plus Telnet, sommes-nous concernés ?

Vérifiez que le paquet GNU InetUtils n est pas installé par défaut sur vos serveurs Linux et que le port 23 n est ouvert sur aucun de vos équipements réseau, imprimantes, switchs managés ou systèmes SCADA. Les installations oubliées sont le principal risque : un audit rapide avec nmap -p 23 sur vos plages IP internes permettra de lever le doute.

Quand le correctif sera-t-il disponible ?

Les mainteneurs de GNU InetUtils ont annoncé que le patch serait disponible au plus tard le 1er avril 2026. En attendant, la seule mitigation efficace est la désactivation complète du service telnetd ou son isolement réseau strict.

Votre infrastructure est-elle exposée ?

Ayi NEDJIMI réalise des audits de sécurité ciblés pour identifier et corriger vos vulnérabilités avant qu elles ne soient exploitées.

Demander un audit