Telnet riemerge dal passato e spalanca l’accesso a 800mila server
Indice dei Contenuti:
Telnet dimenticato: una falla critica espone 800 mila server, attacchi gi? in corso
Una falla critica sottovalutata
La vulnerabilità CVE-2026-24061, con punteggio CVSS 9.8, colpisce il demone telnetd incluso nella suite GNU InetUtils dalla versione 1.9.3 del 2015 fino alla 2.7, aprendo la porta a compromissioni complete dei sistemi esposti. Il problema nasce dall’assenza di un controllo rigoroso sulla variabile d’ambiente USER, inoltrata senza sanificazione al processo /usr/bin/login.
Un aggressore remoto può sfruttare l’opzione -a del servizio per forzare la variabile in modo che venga interpretata come parametro -f root, eludendo interamente il meccanismo di autenticazione ed entrando con privilegi amministrativi. Questo scenario rende possibile l’esecuzione di comandi arbitrari, l’installazione di malware e la persistenza nascosta, con un impatto potenzialmente devastante su server e dispositivi embedded.
GNU InetUtils include strumenti storici come telnet, ftp e ping, tuttora presenti in molte distribuzioni Linux e in una vasta gamma di dispositivi IoT, spesso caratterizzati da cicli di aggiornamento estremamente lenti. Proprio questa inerzia negli update trasforma una falla tecnica in un rischio strutturale per infrastrutture critiche, reti aziendali e ambienti industriali dove la disponibilità del servizio viene spesso privilegiata rispetto alla sicurezza.
Portata globale e primi attacchi
Secondo i dati della Shadowserver Foundation, circa 800.000 indirizzi IP espongono servizi Telnet accessibili da Internet, con una concentrazione elevata in Asia (oltre 380.000 sistemi), seguita da Sud America (circa 170.000) ed Europa (più di 100.000). Il CEO Piotr Kijewski sottolinea che questi servizi non dovrebbero mai essere accessibili pubblicamente, in particolare quando si trovano su dispositivi IoT legacy difficili da aggiornare.
L’organizzazione, tramite i propri report sugli endpoint Telnet raggiungibili, avverte da anni che la persistenza di questo protocollo rappresenta una superficie d’attacco ideale per botnet e gruppi criminali. Nonostante la sostituzione formale da parte di SSH, Telnet resta diffuso in contesti OT, ambienti industriali e su apparati obsoleti come telecamere IP, sensori e router di vecchia generazione.
I primi sfruttamenti della falla sono stati documentati da GreyNoise, che ha osservato attività sospette già dal 21 gennaio, un giorno dopo il rilascio della patch correttiva. In pochi giorni sono stati identificati 18 indirizzi IP unici coinvolti in una sessantina di sessioni, con l’83% dei tentativi mirati a ottenere accesso diretto all’account root, segno di un interesse immediato della criminalità informatica.
Mitigazione urgente e impatto per OT
Le analisi di GreyNoise indicano che le campagne osservate combinano fasi automatizzate e manovre manuali post-sfruttamento, con ricognizioni approfondite dei sistemi compromessi e tentativi di distribuzione di malware, spesso basato su script Python. In diversi casi l’installazione è fallita per assenza delle dipendenze necessarie, ma questo margine di “fortuna” è destinato a ridursi man mano che gli attaccanti adattano i propri toolkit.
Le linee guida degli esperti sono chiare: applicare immediatamente le patch ufficiali (Patch 1 e Patch 2) dove disponibili, disabilitare il servizio telnetd e, laddove non sia possibile intervenire direttamente, bloccare la porta TCP 23 a livello di firewall. In reti complesse è cruciale mappare in modo sistematico tutti i servizi esposti, compresi quelli “dimenticati” o integrati in dispositivi di terze parti.
Negli ambienti OT e ICS, spesso vincolati da normative e da cicli di manutenzione lenti, la migrazione verso SSH deve essere pianificata tenendo conto di compatibilità, test e continuità operativa. Configurazioni di segmentazione di rete, accessi mediati da jump host e monitoraggio continuo del traffico diventano essenziali per ridurre il rischio di compromissioni a catena che potrebbero impattare su produzione, logistica e servizi essenziali.
FAQ
D: Che cosa consente in concreto la vulnerabilità CVE-2026-24061?
R: Permette a un attaccante remoto di ottenere accesso amministrativo senza autenticazione sfruttando la gestione insicura della variabile USER in telnetd.
D: Quali versioni di GNU InetUtils sono coinvolte?
R: Sono interessate le versioni dalla 1.9.3 del 2015 fino alla 2.7, in cui il controllo sulla variabile d’ambiente non è adeguato.
D: Quanti sistemi risultano esposti online?
R: I dati della Shadowserver Foundation indicano circa 800.000 indirizzi IP con servizi Telnet accessibili da Internet.
D: Perché Telnet è ancora così diffuso nonostante SSH?
R: Rimane presente in dispositivi legacy, apparati embedded e ambienti industriali dove gli aggiornamenti sono complessi o rischiosi per la continuità operativa.
D: Chi ha individuato per primo gli attacchi in corso?
R: La società di intelligence sulle minacce GreyNoise ha rilevato attività malevole a partire dal 21 gennaio.
D: Qual è la mitigazione più rapida per chi non può aggiornare subito?
R: Disabilitare telnetd dove possibile o bloccare la porta TCP 23 tramite firewall, limitando l’accesso ai soli segmenti di rete strettamente necessari.
D: Che rischi specifici corrono gli ambienti OT e ICS?
R: Un attacco riuscito può causare interruzioni operative, manipolazione di processi industriali e impatti sulla sicurezza fisica degli impianti.
D: Qual è la fonte giornalistica originale di riferimento su questa vicenda?
R: Le informazioni tecniche e di contesto sono state inizialmente riportate da Shadowserver Foundation e approfondite in articoli specialistici di sicurezza pubblicati su media di cybersecurity internazionali.
DIRETTORE EDITORIALE
Michele Ficara Manganelli ✿
PUBBLICITA’ – COMUNICATI STAMPA – PROVE PRODOTTI
Per acquistare pubblicità CLICCA QUI
Per inviarci comunicati stampa e per proporci prodotti da testare prodotti CLICCA QUI
