En bref

  • CVE-2026-32746 (CVSS 9.8) : buffer overflow dans GNU InetUtils telnetd permettant une RCE root pré-authentification
  • Tous les systèmes exposant GNU telnetd ≤ 2.7 sur le port 23 sont vulnérables
  • Aucun patch officiel avant le 1er avril 2026 — désactiver telnetd immédiatement

Les faits

Le 11 mars 2026, des chercheurs de la société israélienne Dream ont divulgué CVE-2026-32746, une vulnérabilité critique de type out-of-bounds write dans le gestionnaire de sous-options LINEMODE SLC (Set Local Characters) de GNU InetUtils telnetd, toutes versions jusqu'à 2.7 incluse. Cette faille permet à un attaquant distant non authentifié d'exécuter du code arbitraire avec les privilèges root en envoyant un unique paquet réseau spécialement forgé durant la phase d'établissement de la connexion, avant même l'affichage du moindre prompt de login. Aucune authentification préalable ni interaction utilisateur ne sont nécessaires, ce qui classe CVE-2026-32746 parmi les vulnérabilités les plus sévères de ce début d'année 2026. Au 18 mars 2026, Shodan identifiait 3 362 instances GNU Telnetd directement exposées sur Internet, dans des environnements industriels, des équipements réseau hérités et des systèmes embarqués fonctionnant sur des plateformes Linux x86-64, ARM et MIPS. Le CERT-FR surveille activement la situation et recommande une action immédiate. Aucun correctif officiel n'était disponible à la date de publication, la résolution étant annoncée pour le 1er avril 2026 par l'équipe de maintenance de GNU InetUtils, laissant les organisations exposées pendant plus de dix jours supplémentaires.

Sur le plan technique, la vulnérabilité réside dans le traitement des réponses SLC du protocole Telnet LINEMODE. Lors du parsing d'une séquence SLC malformée, telnetd réalise une écriture mémoire hors des limites du tampon alloué, corrompant le tas ou la pile selon la configuration du système. L'absence de mécanismes de mitigation modernes dans de nombreux déploiements de ce démon vénérable facilite une exploitation fiable et reproductible sur architectures variées. Une entrée NVD officielle et un article BleepingComputer détaillent les indicateurs techniques disponibles.

Impact et exposition

Les organisations les plus exposées maintiennent des équipements hérités ou systèmes embarqués utilisant GNU telnetd pour l'administration à distance : équipements réseau ancienne génération, automates industriels SCADA/ICS, systèmes de contrôle embarqués et environnements de développement legacy. Une exploitation réussie confère un contrôle root complet permettant l'exfiltration de données sensibles, l'installation de backdoors persistantes, le mouvement latéral dans le réseau interne ou le sabotage de systèmes critiques. Dans un contexte OT/ICS, les conséquences peuvent avoir un impact physique direct sur les processus industriels. Consultez notre analyse du Patch Tuesday février 2026 avec 4 zero-days critiques et de la CVE-2026-20131 Cisco FMC zero-day CVSS 10 pour le contexte de la menace actuelle.

Recommandations

  • Désactiver immédiatement telnetd sur tous les systèmes (systemctl disable --now telnetd ou équivalent selon l'OS)
  • Bloquer le port TCP 23 en entrée et en sortie sur tous les pare-feux périmètre, EDR et groupes de sécurité cloud
  • Migrer vers SSH pour tout besoin d'administration à distance légitime
  • Inventorier les équipements utilisant GNU InetUtils telnetd via un scan Nmap ciblé (nmap -p 23 --open)
  • Surveiller le bulletin de sécurité GNU InetUtils et appliquer le patch dès sa disponibilité prévue le 1er avril 2026

Telnetd est-il encore utilisé en entreprise en 2026 ?

Oui, telnetd reste présent dans certains environnements industriels (SCADA, automates programmables), sur des équipements réseau hérités (switches et routeurs ancienne génération) et dans des systèmes embarqués difficiles à migrer vers SSH. C'est précisément cette dette technique qui rend CVE-2026-32746 particulièrement dangereuse : les équipes OT/ICS disposent souvent de fenêtres de maintenance étroites et de contraintes de compatibilité limitant leur capacité à désactiver rapidement ce service. Un audit de surface d'attaque régulier permet d'identifier ces expositions avant qu'un attaquant ne le fasse.

À retenir

  • CVE-2026-32746 : RCE root pré-authentification dans GNU Telnetd, CVSS 9.8 — aucun patch avant le 1er avril 2026
  • 3 362 serveurs exposés sur Internet, principalement des systèmes industriels et hérités
  • Action immédiate : désactiver telnetd, bloquer le port 23, inventorier les équipements concernés

Contexte et implications pour les équipes sécurité

La découverte de CVE-2026-32746 dans GNU Telnetd illustre un problème structurel dans la gestion des composants hérités (legacy) au sein des infrastructures modernes. Malgré la dépréciation officielle du protocole Telnet depuis plus de deux décennies au profit de SSH, des milliers de serveurs continuent d'exposer ce service, souvent de manière involontaire après des migrations ou des déploiements automatisés. Les 3 362 serveurs exposés identifiés représentent un risque immédiat et concret, d'autant que l'exploitation pré-authentifiée ne nécessite aucune connaissance préalable de la cible.

Le vecteur d'exploitation repose sur un défaut de validation dans le traitement des options de négociation du protocole Telnet. En envoyant une séquence de paquets malformés lors de l'établissement de la connexion, un attaquant peut déclencher un dépassement de tampon (buffer overflow) dans le processus Telnetd s'exécutant avec les privilèges root. La chaîne d'exploitation est reproductible de manière fiable et ne nécessite pas de conditions particulières côté serveur, ce qui en fait un vecteur de compromission de masse particulièrement dangereux. Dans un contexte où les scanners automatisés identifient et exploitent les nouvelles vulnérabilités en quelques heures, l'absence de correctif avant le 1er avril 2026 impose la désactivation immédiate comme seule mitigation viable.

Comment savoir si mon système est vulnérable à CVE-2026-32746 ?

Pour déterminer votre exposition, inventoriez toutes les instances de GNU Telnetd dans votre environnement, y compris les versions utilisées. Comparez-les aux versions affectées dans l'avis officiel du fournisseur. Les outils de vulnerability scanning comme Tenable Nessus, Qualys ou OpenVAS proposent généralement des plugins de détection dans les 24-48h suivant la publication d'un CVE critique. Un scan ciblé sur le port et le service concerné permet de confirmer l'exposition.

Que faire si le patch ne peut pas être appliqué immédiatement ?

En cas d'impossibilité de patcher rapidement, plusieurs mesures de mitigation permettent de réduire le risque : isoler les systèmes vulnérables derrière un pare-feu applicatif (WAF), restreindre les accès réseau au strict nécessaire, désactiver les fonctionnalités exposées si possible, et renforcer la surveillance des logs pour détecter toute tentative d'exploitation. Un plan de patch d'urgence doit être déclenché dans les 72h suivant la confirmation de l'exploitation active.

Est-ce que CVE-2026-32746 est activement exploitée dans des attaques réelles ?

Oui — les preuves d'exploitation active ont été confirmées. Des groupes de ransomware et d'APT ont intégré ce vecteur dans leurs chaînes d'attaque. L'exploitation active signifie que le risque n'est plus théorique : toute organisation exposée doit traiter ce correctif comme une priorité absolue indépendamment de ses cycles de maintenance habituels. Consulter le catalogue CISA KEV pour suivre l'état d'exploitation confirmée.

Ressources complémentaires sur la gestion des vulnérabilités

Votre infrastructure est-elle exposée ?

Ayi NEDJIMI réalise des audits ciblés pour identifier vos vulnérabilités.

Demander un audit