Telnet: "Ingrese su usuario, por favor" — hacker: "Gracias, pero ya soy root". Segunda vulnerabilidad crítica en dos meses; la CISA ya detecta ataques.

En telnetd de GNU InetUtils se detectó una vulnerabilidad crítica que permite ejecutar código arbitrario de forma remota con privilegios elevados incluso antes de que aparezca la petición de inicio de sesión. El problema recibió el identificador CVE-2026-32746 y una puntuación de 9,8 sobre 10 en la escala CVSS. Para el ataque basta con establecer una conexión al puerto 23 y enviar un mensaje especialmente formado durante la fase inicial de negociación de parámetros del protocolo. No se necesita una cuenta, ninguna acción por parte del usuario ni una posición especial en la red para este escenario.

La empresa israelí Dream informó del error: encontró el problema y facilitó los datos a los desarrolladores el 11 de marzo de 2026. Según los investigadores, la vulnerabilidad afecta a todas las versiones de la implementación de Telnet en GNU InetUtils hasta la 2.7. La corrección se espera a más tardar el 1 de abril de 2026.

La causa está relacionada con un error de escritura fuera del área de memoria permitida en el manejador de la subopción LINEMODE Set Local Characters, abreviada SLC. Ese manejador participa en la negociación de parámetros durante el apretón de manos de Telnet, es decir, en el momento más temprano después de que se establece la conexión del cliente. Debido al procesamiento incorrecto de los datos se produce un desbordamiento de búfer. A partir de ahí el daño en la memoria puede convertirse en escritura arbitraria y luego en ejecución remota de código.

Y la principal complicación es que la zona vulnerable se activa antes de la autenticación. Al atacante no le hace falta adivinar la contraseña ni esperar la invitación de inicio de sesión. Basta con conectarse al servicio y enviar inmediatamente una subopción SLC especialmente preparada con un gran número de tripletes, es decir, bloques de datos repetidos en el formato que espera Telnet. Es en esa etapa cuando se produce el desbordamiento.

Si la explotación tiene éxito, las consecuencias pueden ser sumamente graves. Telnetd suele ejecutarse con privilegios de root, por ejemplo bajo inetd o xinetd. En ese caso el atacante obtiene el control total del sistema. Tras esa toma de control son posibles las acciones típicas: instalar una puerta trasera persistente, robar datos, moverse lateralmente por la red y usar el equipo comprometido como punto de apoyo para nuevos ataques.

El riesgo práctico se agrava por la propia naturaleza de Telnet. El servicio se considera antiguo e inseguro desde hace tiempo, pero aún aparece en sistemas Unix antiguos, en dispositivos integrados, en bancos de pruebas y en infraestructuras donde no se ha desactivado por costumbre. En esos anfitriones el puerto 23 a menudo permanece accesible al menos dentro de la red, por lo que incluso una vulnerabilidad aislada en el manejador del protocolo se convierte rápidamente en un problema real para los administradores.

Mientras no haya parche, los investigadores recomiendan adoptar medidas temporales de protección. La medida más obvia es desactivar completamente telnetd si el servicio ya no es necesario. Si no se puede prescindir de él, conviene, en la medida de lo posible, ejecutar el servicio sin privilegios de root, bloquear el acceso al puerto 23 en el perímetro de red y en los cortafuegos locales, y aislar y limitar al máximo el acceso a Telnet.

La situación es aún más preocupante por el contexto reciente en torno al mismo componente. Hace casi dos meses se divulgó otra vulnerabilidad crítica en telnetd de GNU InetUtils, CVE-2026-24061, también con una puntuación de 9,8 en CVSS. Ese defecto también permitía obtener acceso root al sistema objetivo y, más tarde, según CISA, los atacantes empezaron a usarlo en ataques reales. El nuevo fallo demuestra que incluso un servicio conocido y aparentemente en desuso como Telnet sigue siendo capaz de generar riesgos muy serios allí donde el servicio antiguo permanece en la infraestructura operativa.