Telnet riemerge dal passato e spalanca l’accesso a 800mila server

Telnet riemerge dal passato e spalanca l’accesso a 800mila server

27 Gennaio 2026

Telnet dimenticato: una falla critica espone 800 mila server, attacchi gi? in corso

Una falla critica sottovalutata

La vulnerabilità CVE-2026-24061, con punteggio CVSS 9.8, colpisce il demone telnetd incluso nella suite GNU InetUtils dalla versione 1.9.3 del 2015 fino alla 2.7, aprendo la porta a compromissioni complete dei sistemi esposti. Il problema nasce dall’assenza di un controllo rigoroso sulla variabile d’ambiente USER, inoltrata senza sanificazione al processo /usr/bin/login.

Un aggressore remoto può sfruttare l’opzione -a del servizio per forzare la variabile in modo che venga interpretata come parametro -f root, eludendo interamente il meccanismo di autenticazione ed entrando con privilegi amministrativi. Questo scenario rende possibile l’esecuzione di comandi arbitrari, l’installazione di malware e la persistenza nascosta, con un impatto potenzialmente devastante su server e dispositivi embedded.

GNU InetUtils include strumenti storici come telnet, ftp e ping, tuttora presenti in molte distribuzioni Linux e in una vasta gamma di dispositivi IoT, spesso caratterizzati da cicli di aggiornamento estremamente lenti. Proprio questa inerzia negli update trasforma una falla tecnica in un rischio strutturale per infrastrutture critiche, reti aziendali e ambienti industriali dove la disponibilità del servizio viene spesso privilegiata rispetto alla sicurezza.

BOTTONE COMPRA BRANDED CONTENT SU ASSODIGITALE SMALL

Portata globale e primi attacchi

Secondo i dati della Shadowserver Foundation, circa 800.000 indirizzi IP espongono servizi Telnet accessibili da Internet, con una concentrazione elevata in Asia (oltre 380.000 sistemi), seguita da Sud America (circa 170.000) ed Europa (più di 100.000). Il CEO Piotr Kijewski sottolinea che questi servizi non dovrebbero mai essere accessibili pubblicamente, in particolare quando si trovano su dispositivi IoT legacy difficili da aggiornare.

L’organizzazione, tramite i propri report sugli endpoint Telnet raggiungibili, avverte da anni che la persistenza di questo protocollo rappresenta una superficie d’attacco ideale per botnet e gruppi criminali. Nonostante la sostituzione formale da parte di SSH, Telnet resta diffuso in contesti OT, ambienti industriali e su apparati obsoleti come telecamere IP, sensori e router di vecchia generazione.

I primi sfruttamenti della falla sono stati documentati da GreyNoise, che ha osservato attività sospette già dal 21 gennaio, un giorno dopo il rilascio della patch correttiva. In pochi giorni sono stati identificati 18 indirizzi IP unici coinvolti in una sessantina di sessioni, con l’83% dei tentativi mirati a ottenere accesso diretto all’account root, segno di un interesse immediato della criminalità informatica.

Mitigazione urgente e impatto per OT

Le analisi di GreyNoise indicano che le campagne osservate combinano fasi automatizzate e manovre manuali post-sfruttamento, con ricognizioni approfondite dei sistemi compromessi e tentativi di distribuzione di malware, spesso basato su script Python. In diversi casi l’installazione è fallita per assenza delle dipendenze necessarie, ma questo margine di “fortuna” è destinato a ridursi man mano che gli attaccanti adattano i propri toolkit.

Le linee guida degli esperti sono chiare: applicare immediatamente le patch ufficiali (Patch 1 e Patch 2) dove disponibili, disabilitare il servizio telnetd e, laddove non sia possibile intervenire direttamente, bloccare la porta TCP 23 a livello di firewall. In reti complesse è cruciale mappare in modo sistematico tutti i servizi esposti, compresi quelli “dimenticati” o integrati in dispositivi di terze parti.

Negli ambienti OT e ICS, spesso vincolati da normative e da cicli di manutenzione lenti, la migrazione verso SSH deve essere pianificata tenendo conto di compatibilità, test e continuità operativa. Configurazioni di segmentazione di rete, accessi mediati da jump host e monitoraggio continuo del traffico diventano essenziali per ridurre il rischio di compromissioni a catena che potrebbero impattare su produzione, logistica e servizi essenziali.

FAQ

D: Che cosa consente in concreto la vulnerabilità CVE-2026-24061?
R: Permette a un attaccante remoto di ottenere accesso amministrativo senza autenticazione sfruttando la gestione insicura della variabile USER in telnetd.

D: Quali versioni di GNU InetUtils sono coinvolte?
R: Sono interessate le versioni dalla 1.9.3 del 2015 fino alla 2.7, in cui il controllo sulla variabile d’ambiente non è adeguato.

D: Quanti sistemi risultano esposti online?
R: I dati della Shadowserver Foundation indicano circa 800.000 indirizzi IP con servizi Telnet accessibili da Internet.

D: Perché Telnet è ancora così diffuso nonostante SSH?
R: Rimane presente in dispositivi legacy, apparati embedded e ambienti industriali dove gli aggiornamenti sono complessi o rischiosi per la continuità operativa.

D: Chi ha individuato per primo gli attacchi in corso?
R: La società di intelligence sulle minacce GreyNoise ha rilevato attività malevole a partire dal 21 gennaio.

D: Qual è la mitigazione più rapida per chi non può aggiornare subito?
R: Disabilitare telnetd dove possibile o bloccare la porta TCP 23 tramite firewall, limitando l’accesso ai soli segmenti di rete strettamente necessari.

D: Che rischi specifici corrono gli ambienti OT e ICS?
R: Un attacco riuscito può causare interruzioni operative, manipolazione di processi industriali e impatti sulla sicurezza fisica degli impianti.

D: Qual è la fonte giornalistica originale di riferimento su questa vicenda?
R: Le informazioni tecniche e di contesto sono state inizialmente riportate da Shadowserver Foundation e approfondite in articoli specialistici di sicurezza pubblicati su media di cybersecurity internazionali.


Michele Ficara Manganelli ✿∴♛🌿🇨🇭 Avatar

Michele Ficara Manganelli ✿∴♛🌿🇨🇭

Direttore Editoriale Assodigitale.it Phd, MBA, CPA

Storico esperto di Digital Journalism e creatore di Immediapress la prima Digital Forwarding Agency italiana poi ceduta al Gruppo ADNkronos, evangelista di Internet dai tempi di Mozilla e poi antesignano (ora pentito) dei social media in italia, Bitcoiner Evangelist, portatore sano di Ethereum e Miner di crypto da tempi non sospetti. Sono a dir poco un entusiasta della vita, e già questo non è poco. Intimamente illuminato dalla Cultura Life-Hacking, nonchè per sempre ed indissolubilmente Geek, giocosamente Runner e olisticamente golfista. #senzatimore è da decenni il mio hashtag e significa il coraggio di affrontare l'ignoto. Senza Timore. Appunto

Areas of Expertise: Digital Marketing, SEO, Content Strategy, Crypto, Blockchain, Fintech, Finance, Web3, Metaverse, Digital Content, Journalism, Branded Content, Digital Transformation, AI Strategy, Digital Publishing, DeFi, Tokenomics, Growth Hacking, Online Reputation Management, Emerging Tech Trends, Business Development, Media Relations, Editorial Management.
michele.ficara@assodigitale.it
LinkedIn Instagram YouTube Telegram
Fact Checked & Editorial Guidelines

Our Fact Checking Process

We prioritize accuracy and integrity in our content. Here's how we maintain high standards:

  1. Expert Review: All articles are reviewed by subject matter experts.
  2. Source Validation: Information is backed by credible, up-to-date sources.
  3. Transparency: We clearly cite references and disclose potential conflicts.
Reviewed by: Subject Matter Experts

Our Review Board

Our content is carefully reviewed by experienced professionals to ensure accuracy and relevance.

  • Qualified Experts: Each article is assessed by specialists with field-specific knowledge.
  • Up-to-date Insights: We incorporate the latest research, trends, and standards.
  • Commitment to Quality: Reviewers ensure clarity, correctness, and completeness.

Look for the expert-reviewed label to read content you can trust.