Vulnerabilità critica in telnetd consente accesso root remoto a tutti, dopo 11 anni

La recente divulgazione della vulnerabilità CVE-2026-24061, classificata con un punteggio CVSS 9,8, rappresenta un caso emblematico di come software obsoleti possano continuare a costituire una minaccia concreta per la sicurezza informatica moderna. Il difetto, individuato nel daemon telnetd del progetto GNU InetUtils, è rimasto inosservato per quasi 11 anni, nonostante consenta un bypass completo dell’autenticazione con ottenimento di privilegi root da remoto.

Il fatto che un bug critico di questa portata sia sopravvissuto indisturbato per oltre un decennio non è soltanto una curiosità storica, ma un segnale d’allarme strutturale: l’eredità tecnologica, quando non adeguatamente governata, diventa un vettore di attacco ad altissimo impatto.

Origine del problema: quando una variabile d’ambiente diventa un’arma

La vulnerabilità è stata introdotta con un aggiornamento di maggio 2015 e risiede in una gestione insicura dei parametri passati al file binario /usr/bin/login, invocato dal daemon telnetd con privilegi elevati. In particolare, il valore della variabile d’ambiente USER, fornito direttamente dal client Telnet, viene passato come argomento finale al processo di login senza un’adeguata sanitizzazione.

La sanitizzazione è il processo di validazione, filtraggio e normalizzazione dei dati in ingresso per impedire che input controllati dall’utente possano essere interpretati come comandi, opzioni o istruzioni pericolose dal sistema o da un’applicazione.

Il comportamento venuto a galla apre la strada a una devastante argument injection. Fornendo come valore della variabile USER la stringa -f root, l’attaccante induce il comando login a interpretare l’input come un’opzione legittima, forzando l’autenticazione automatica come utente root. Il risultato è un accesso completo al sistema, senza alcuna richiesta di credenziali.

Dal punto di vista tecnico, non si tratta di un exploit sofisticato che richiede condizioni particolari o catene di vulnerabilità: è sufficiente lanciare un comando Telnet opportunamente costruito, rendendo l’attacco estremamente affidabile e replicabile.

Sfruttamento reale e minaccia attiva

Uno degli elementi più preoccupanti emersi subito dopo la divulgazione è la rapidità con cui la vulnerabilità CVE-2026-24061 è stata incorporata in campagne di scansione e sfruttamento automatico. L’analisi di threat intelligence sviluppata da GreyNoise (azienda che abbiamo recentemente rammentato per l’utile tool che consente di scoprire se un indirizzo IP sia usato per attività malevole) indica che, nelle prime 24 ore dalla disclosure pubblica, diversi indirizzi IP unici hanno già tentato attacchi mirati contro sistemi esposti, sfruttando esattamente questa debolezza.

Il dato conferma uno schema ormai consolidato nel panorama cyber: la finestra temporale tra pubblicazione di un advisory e lo sfruttamento attivo si è ridotta a poche ore, se non minuti. In contesti legacy, dove Telnet è spesso dimenticato o considerato “innocuo”, il rischio di compromissione silenziosa è particolarmente elevato.

Perché Telnet è ancora un problema nel 2026

La domanda che sorge spontanea è perché, nel 2026, Telnet continui a essere presente in ambienti di produzione. La risposta risiede principalmente in infrastrutture industriali, sistemi embedded, apparati di rete datati, dove la sostituzione dei servizi avviene con estrema lentezza.

Tuttavia, questa persistenza si scontra con una realtà tecnica innegabile: Telnet è un protocollo intrinsecamente insicuro. L’assenza di cifratura rende ogni sessione intercettabile tramite semplice packet sniffing, mentre l’architettura stessa del servizio non risponde più ai requisiti minimi di sicurezza contemporanei. La vulnerabilità CVE-2026-24061 non fa insomma che amplificare un rischio già inaccettabile.

Il vero problema non è solo la vulnerabilità in sé, ma il fatto che Telnet continui a essere esposto su Internet, spesso senza alcuna restrizione di accesso.

Liberarsi subito del servizio telnetd

Le raccomandazioni non si limitano all’applicazione della patch correttiva per la falla CVE-2026-24061. Per mettersi al riparo da qualsiasi rischio, è essenziale procedere con la dismissione completa del servizio telnetd. Aggiornare il daemon e limitarne l’accesso a reti fidate è considerata una misura minima e temporanea, non una soluzione definitiva.

La mitigazione reale passa dalla sostituzione di telnetd con protocolli sicuri come SSH, che garantiscono cifratura end-to-end, gestione robusta delle chiavi e un ecosistema di sicurezza maturo. E proprio di recente abbiamo comunque spiegato perché esporre un server SSH su Internet sia un errore importante, spesso ampiamente sottovalutato.

Considerazioni finali

CVE-2026-24061 è l’ennesima dimostrazione di come le vulnerabilità più pericolose non siano sempre le più complesse, ma spesso quelle annidate in software dimenticati, dati per scontati o considerati “fuori dal radar”. In questo caso, una singola variabile d’ambiente mal gestita è sufficiente a compromettere completamente un sistema.

La notizia di un bug in telnetd capace di concedere accesso root agli attaccanti potrebbe sembrare, a prima vista, quasi folkloristica. Telnet è considerato obsoleto, insicuro, superato da decenni di evoluzione delle pratiche di amministrazione remota. Eppure, proprio questa percezione di “tecnologia morta” rende la vulnerabilità estremamente attuale e, per certi contesti, persino più pericolosa di molte falle moderne.

Il problema non risiede tanto nel protocollo in sé quanto nel fatto che telnetd continui a essere presente, spesso silenziosamente, in una vasta gamma apparati e nelle stesse infrastrutture critiche.

In questi ambienti, il software è raramente aggiornato, talvolta nemmeno inventariato correttamente, e finisce per diventare un punto di ingresso ideale per gli aggressori remoti.