CVE-2026-24061 : bypass auth root dans GNU telnetd (9.8)

Les faits

CVE-2026-24061, publiée le 20 janvier 2026 et notée 9.8 sur l'échelle CVSS v3.1, affecte le démon telnetd inclus dans GNU InetUtils, de la version 1.9.3 à la version 2.7. La faille réside dans le traitement de la variable d'environnement USER transmise via le protocole Telnet. Le démon insère directement cette valeur dans les arguments de la commande /usr/bin/login sans aucune validation. En positionnant la variable USER sur la chaîne -f root, un attaquant force l'utilisation du drapeau -f de login, qui désactive totalement l'authentification par mot de passe et octroie immédiatement un shell root. Le vecteur d'attaque est trivial : aucune authentification, aucune interaction utilisateur, complexité d'attaque basse. La vulnérabilité a été découverte par des chercheurs de OffSec et confirmée par le NVD avec le score maximal en confidentialité, intégrité et disponibilité.

Le CISA a ajouté cette CVE à son catalogue KEV (Known Exploited Vulnerabilities) en raison de preuves d'exploitation active dans la nature. Le Centre canadien pour la cybersécurité a également émis l'alerte AL26-002 spécifique à cette vulnérabilité. D'après les analyses de TXOne Networks, trois vagues d'attaques distinctes ont été observées depuis le 22 janvier 2026, avec une progression de la reconnaissance passive vers l'exploitation active par le groupe threat actor « rwxrwx ».

Impact et exposition

Toute organisation exploitant un service telnetd basé sur GNU InetUtils est potentiellement exposée. Cela inclut de nombreux systèmes embarqués, équipements réseau, appliances OT/ICS et distributions Linux qui maintiennent encore telnetd dans leurs dépôts. Selon les données Shodan, plus de 212 000 appareils exposent actuellement un serveur Telnet sur Internet, et environ un million d'appareils écoutent sur le port 23. L'exploitation ne requiert aucun prérequis : ni compte utilisateur, ni interaction, ni connaissance préalable de la cible. Un attaquant obtient un shell root complet en une seule requête, ce qui permet l'exfiltration de données, l'installation de portes dérobées, le pivot vers d'autres systèmes du réseau et la perturbation complète des services. Les environnements industriels et OT sont particulièrement à risque car telnetd y est souvent maintenu pour des raisons de compatibilité avec des équipements anciens.

Recommandations immédiates

• Mettre à jour GNU InetUtils vers la version 2.7-2 ou ultérieure — les correctifs sont disponibles via les gestionnaires de paquets des principales distributions Linux
• Désactiver immédiatement le service telnetd si celui-ci n'est pas strictement nécessaire et migrer vers SSH pour l'administration distante
• Bloquer le port TCP 23 au niveau du pare-feu périmétrique et des ACL réseau pour empêcher tout accès Telnet depuis l'extérieur
• Si telnetd doit être maintenu temporairement, restreindre l'accès aux seules adresses IP de confiance et configurer un outil de login personnalisé qui refuse le drapeau -f
• Rechercher des IOC dans les journaux système : connexions Telnet inhabituelles, sessions root non autorisées, présence de fichiers suspects dans /tmp