# CVE-2026-24061 - Bypass de Autenticação no GNU Inetutils telnetd > [!danger] CVSS 9.8 - CISA KEV - Exploração Ativa > Bypass de autenticação crítico no **telnetd do GNU Inetutils** permite acesso root remoto sem credenciais válidas. A variável de ambiente USER com valor "-f root" é passada diretamente ao mecanismo de autenticação PAM/rlogin, concedendo acesso privilegiado imediato. ## Visão Geral **CVE-2026-24061** é uma vulnerabilidade crítica de bypass de autenticação no daemon `telnetd` do pacote GNU Inetutils, amplamente distribuído em sistemas Linux/Unix. A falha reside na forma como o `telnetd` processa a variável de ambiente `USER` enviada pelo cliente durante o handshake do protocolo Telnet: ao aceitar o valor `-f root` sem sanitização, o daemon passa esse parâmetro para a chamada de autenticação `login()`, que interpreta `-f` como a flag de "bypass de verificação de senha" presente em implementações BSD do utilitário `login`. O resultado é acesso de superusuário sem qualquer credencial válida. A gravidade desta vulnerabilidade é amplificada pela longevidade e ubiquidade do protocolo Telnet em ambientes legados. Apesar de ser considerado inseguro e substituído por SSH em ambientes modernos, o `telnetd` do GNU Inetutils permanece ativo em milhões de dispositivos embarcados, sistemas industriais (ICS/OT), appliances de rede legados, e distribuições Linux antigas utilizadas em infraestruturas críticas no Brasil e na América Latina. A inclusão no catálogo CISA KEV confirma exploração ativa em ambientes reais. O impacto para organizações brasileiras e latino-americanas é particularmente relevante nos setores de [[energy|energia]], [[critical-infrastructure|infraestrutura crítica]] e [[government|governo]], onde sistemas legados com Telnet habilitado ainda são comuns em redes OT/SCADA e equipamentos de automação industrial. A exploração é trivial - um único comando `telnet` com variável de ambiente manipulada - tornando este vetor acessível a atacantes de baixa sofisticação técnica. ## Cadeia de Exploração ```mermaid graph TB A["🔍 Scanner detecta telnetd exposto<br/>Porta 23/TCP aberta<br/>GNU Inetutils vulnerable"] --> B["📡 Handshake Telnet<br/>Envio de opção ENVIRON<br/>com USER=-f root"] B --> C["💥 telnetd processa variável<br/>USER=-f root sem sanitização<br/>Chamada login() com flag -f"] C --> D["🔓 Bypass de Autenticação<br/>login -f root executado<br/>Senha não é verificada"] D --> E["🔧 Shell root no servidor<br/>Acesso completo ao sistema<br/>sem credenciais válidas"] E --> F["💀 Comprometimento Total<br/>Escalação de privilégios<br/>Persistência e exfiltração"] ``` ## Detalhes Técnicos A vulnerabilidade existe no tratamento de opções de telnet negociadas durante o estabelecimento de conexão. O protocolo Telnet suporta a opção `ENVIRON` (RFC 1572) para transmitir variáveis de ambiente do cliente ao servidor. O `telnetd` vulnerável aceita a variável `USER` e a passa sem válidação para o utilitário `login`. **Mecanismo de exploração:** 1. O atacante estabelece conexão na porta 23/TCP com um servidor rodando `telnetd` vulnerável 2. Durante o handshake, envia a opção ENVIRON com `USER=-f root` 3. O `telnetd` repassa para `login -f root`, onde `-f` significa "bypass de verificação de senha para o usuário específicado" (herança da implementação BSD) 4. O sistema autentica o atacante como `root` sem solicitar senha **Causa raiz:** O `telnetd` do GNU Inetutils não sanitiza o valor da variável `USER` antes de passá-lo ao `login`, permitindo injeção de argumentos de linha de comando. ### CWEs Associados | CWE | Descrição | |-----|-----------| | CWE-287 | Improper Authentication | | CWE-88 | Argument Injection | | CWE-306 | Missing Authentication for Critical Function | ## Produtos Afetados | Vendor | Produto | Versão Afetada | Versão com Fix | |--------|---------|----------------|----------------| | GNU | Inetutils (telnetd) | < 2.5 | 2.5+ | | Debian | inetutils-telnetd | < 2:2.4-2+deb12u1 | 2:2.4-2+deb12u1 | | Ubuntu | inetutils-telnetd | Focal, Jammy (versões afetadas) | Atualizar via apt | | Red Hat / CentOS | inetutils-telnet-server | Versões legadas | Aplicar advisory RHSA | **Sistemas não afetados pelo mesmo vetor:** - Instâncias com Telnet desabilitado (recomendado) - Sistemas que usam apenas SSH para acesso remoto - Implementações `telnetd` de outros projetos (BSD, Fedora netkit-telnet) ## Mitigação > [!warning] Ação Imediata Recomendada > Desabilitar ou remover o serviço telnetd é a mitigação mais eficaz. Se Telnet for operacionalmente necessário, aplicar o patch imediatamente e restringir acesso via firewall. **Ação primária - desabilitar telnetd:** ```bash # systemd sudo systemctl disable telnet.socket --now sudo systemctl mask telnet.socket # inetd / xinetd # Comentar a linha telnet em /etc/inetd.conf ou /etc/xinetd.d/telnet # Reiniciar inetd: sudo systemctl restart inetd ``` **Atualização do pacote:** ```bash # Debian/Ubuntu sudo apt-get update && sudo apt-get upgrade inetutils-telnetd # Red Hat/CentOS sudo yum update inetutils # ou sudo dnf update inetutils ``` **Mitigações de rede (quando patch não é imediato):** 1. Bloquear porta 23/TCP via firewall para todas as fontes externas 2. Restringir acesso Telnet exclusivamente a endereços IP administrativos confiáveis 3. Implementar VPN como requisito para qualquer acesso Telnet residual 4. Monitorar tentativas de conexão Telnet nos logs de firewall **Mapeamento MITRE ATT&CK - Mitigações:** | Mitigação | Controle | |-----------|---------| | [[m1042-disable-or-remove-feature-or-program\|M1042]] | Desabilitar ou remover telnetd | | [[m1030-network-segmentation\|M1030]] | Segmentar rede para isolar sistemas com Telnet | | [[m1035-limit-access-to-resource-over-network\|M1035]] | Restringir acesso por IP/firewall | ## TTPs Relacionadas A exploração desta vulnerabilidade mapeia para as seguintes técnicas MITRE ATT&CK: - [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] - exploração do telnetd exposto - [[t1078-valid-accounts|T1078 - Valid Accounts]] - acesso root via bypass de autenticação - [[t1059-command-scripting-interpreter|T1059 - Command and Scripting Interpreter]] - execução de comandos pós-acesso root ## Detecção e Resposta > [!warning] Aviso sobre as regras abaixo > As regras e consultas a seguir são **exemplos e pontos de partida**. Devem ser revisadas, testadas e adaptadas ao seu ambiente específico antes de serem implantadas em produção. Falsos positivos e negativos são esperados - tuning contínuo é necessário. ### Splunk SPL **Detecção de conexões Telnet ativas na porta 23:** ```spl index=network sourcetype=firewall dest_port=23 | stats count, values(src_ip) as source_ips, values(action) as actions by dest_ip, dest_port | where count > 0 | eval risk=if(action="allowed", "HIGH", "BLOCKED") | table _time, src_ip, dest_ip, dest_port, risk | sort -_time ``` **Detecção de sessões root via telnet (logs de autenticação):** ```spl index=os sourcetype=syslog ("login" OR "pam") ("root" OR "superuser") (source="/var/log/auth.log" OR source="/var/log/secure") | rex field=_raw "from (?<src_ip>\d+\.\d+\.\d+\.\d+)" | stats count, values(src_ip) as source_ips by host, _time | where count > 0 ``` ### Microsoft Sentinel (KQL) ```kql // Detecção de conexões na porta Telnet (23/TCP) CommonSecurityLog | where DestinationPort == 23 | where DeviceAction == "allow" | project TimeGenerated, SourceIP, DestinationIP, DestinationPort, DeviceAction | sort by TimeGenerated desc ``` ### Regra Sigma ```yaml title: CVE-2026-24061 GNU Inetutils telnetd Authentication Bypass id: a1b2c3d4-e5f6-7890-abcd-ef1234567890 status: experimental description: > Detecta tentativas de exploração de CVE-2026-24061 no telnetd do GNU Inetutils. A falha permite bypass de autenticação via argumento -f na variável USER do ENVIRON Telnet. Monitorar sessões root abertas via telnet e fluxo de rede na porta 23. references: - https://nvd.nist.gov/vuln/detail/CVE-2026-24061 - https://www.cisa.gov/known-exploited-vulnerabilities-catalog logsource: product: linux service: auth detection: selection_telnet_root: msg|contains: - 'telnetd' - 'login' user: 'root' service: 'telnet' condition: selection_telnet_root falsepositives: - Administradores legítimos com acesso root configurado via Telnet (práticas legadas) level: critical tags: - attack.initial_access - attack.t1190 - attack.privilege_escalation - attack.t1078 - cve.2026-24061 ``` ## Contexto LATAM > [!latam] Relevância para Brasil e América Latina > O uso de Telnet é especialmente prevalente em sistemas legados industriais e governamentais no Brasil. Equipamentos de automação industrial, roteadores e switches de fabricação nacional e internacional em redes OT de setores como **energia elétrica, petróleo e gás, e manufatura** frequentemente mantêm o Telnet ativo por compatibilidade com sistemas de supervisão SCADA antigos. A **ANPD** (autoridade de proteção de dados do Brasil) e o **CTIR Gov** recomendam a eliminação de protocolos não criptografados como Telnet em redes críticas. Organizações brasileiras devem auditar urgentemente a presença de telnetd ativo, especialmente em redes OT/ICS segmentadas onde patches podem demorar a ser aplicados. ## Indicadores de Comprometimento > [!ioc]- IOCs - CVE-2026-24061 GNU Inetutils telnetd (TLP:GREEN) > Fonte: Análise pública da vulnerabilidade, CISA KEV. > > **Behavioral IoCs (acesso indevido via telnet):** > - Sessão root estabelecida via Telnet (porta 23/TCP) sem autenticação prévia visível nos logs > - Processo `login` executado com argumento `-f root` nos logs do sistema > - Conexões Telnet de IPs externos não autorizados > - Atividade root incomum em sistemas que normalmente não têm acesso root por Telnet > > **Regras de detecção de rede:** > - Fluxo TCP na porta 23 originado de endereços IP externos ou não autorizados > - Padrões de handshake Telnet contendo opção ENVIRON com valor `USER=-f` > > **Fontes:** [CISA KEV](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) · [NVD CVE-2026-24061](https://nvd.nist.gov/vuln/detail/CVE-2026-24061) ## Notas Relacionadas **TTPs:** [[t1190-exploit-public-facing-application|T1190]] · [[t1078-valid-accounts|T1078]] · [[t1059-command-scripting-interpreter|T1059]] **Mitigações:** [[m1042-disable-or-remove-feature-or-program|M1042]] · [[m1030-network-segmentation|M1030]] **Setores em risco:** [[energy|energia]] · [[critical-infrastructure|infraestrutura crítica]] · [[government|governo]] · [[technology|tecnologia]] ## Referências - [NVD - CVE-2026-24061](https://nvd.nist.gov/vuln/detail/CVE-2026-24061) - [CISA KEV Catalog](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) - [GNU Inetutils Security Advisory](https://lists.gnu.org/archive/html/bug-inetutils/) - [CISA - Guidance on Eliminating Obsolete Technology](https://www.cisa.gov/resources-tools/resources/eliminating-obsolete-technology)