Uma falha grave de segurança em um componente amplamente usado em sistemas Linux expôs cerca de 800 mil endereços de IP com servidores Telnet à possibilidade de acesso não autorizado, inclusive sem necessidade de senha, segundo análise da empresa de segurança Shadowserver. A notícia é do site Canaltech.
A vulnerabilidade, registrada como CVE-2026-24061, já possui provas de conceito de exploração disponíveis e afeta versões do pacote GNU InetUtils desde a 1.9.3, lançada em 2015, até a 2.7. Uma correção foi disponibilizada em 20 de janeiro de 2026, na versão 2.8 do software.
O componente afetado, parte do conjunto InetUtils do GNU, inclui ferramentas de rede como telnet/telnetd, ftp/ftpd, rsh/rshd, ping e traceroute, que podem permanecer ativos em servidores e dispositivos legados por mais de uma década sem atualizações. Por isso, muitos equipamentos, especialmente dispositivos da internet das coisas (IoT), ainda podem estar rodando versões desatualizadas e suscetíveis ao ataque.
Distribuição geográfica e risco contínuo
De acordo com os dados coletados pela Shadowserver, dos IPs afetados, cerca de 380 mil estão localizados na Ásia, quase 170 mil na América do Sul e mais de 100 mil na Europa.
O relatório alerta que ainda não é possível determinar quantos desses dispositivos já receberam a correção ou permanecem expostos, o que significa que centenas de milhares podem continuar vulneráveis neste momento.
Detalhes da exploração
Logo após a divulgação e correção da falha, a atividade ofensiva já começou a ser detectada. No dia 21 de janeiro, um dia após o lançamento da correção, foram observadas tentativas de exploração originadas de 18 endereços de IP em 60 sessões Telnet, que abusaram de uma opção da negociação Telnet conhecida como IAC (Interpret As Command) para injetar um comando que resulta em acesso shell sem autenticação.
Segundo análises preliminares, 83% desses ataques visaram o usuário root, a conta com privilégios administrativos máximos no sistema. A maior parte das tentativas de invasão parece ter sido automatizada, ainda que haja registros também de atividades manuais de invasores.
Após obter acesso, os atacantes tentaram executar malwares escritos em Python, mas esses códigos maliciosos não foram bem-sucedidos, em parte porque alguns diretórios e binários necessários não estavam presentes nos sistemas atacados.
Recomendações a administradores
A recomendação é que os administradores atualizem imediatamente o pacote InetUtils para a versão que corrige a falha. Para sistemas que não podem ser atualizados prontamente, a orientação é desabilitar o serviço telnetd vulnerável ou bloquear a porta TCP 23, tradicionalmente usada pelo protocolo Telnet, em todos os firewalls pertinentes.