Falha de 11 anos no GNU dá acesso root total sem senha

Uma falha crítica (CVE-2026-24061) no GNU InetUtils permite acesso root remoto sem senha. O bug existe há 11 anos e afeta o protocolo Telnet

Uma vulnerabilidade crítica descoberta recentemente no ecossistema GNU colocou servidores ao redor do mundo em estado de alerta máximo. A falha, localizada no daemon InetUtils (usado para conexões Telnet), permite que invasores obtenham acesso root completo ao sistema sem sequer precisar de uma senha.

O bug, catalogado como CVE-2026-24061, recebeu uma pontuação de severidade de 9,8 de 10. O mais alarmante? Ele permaneceu escondido no código por 11 anos, afetando todas as versões do InetUtils desde a 1.9.3 (lançada em 2015) até a atual.

Como funciona o ataque?

Segundo o colaborador do projeto GNU, Simon Josefsson, a falha é um erro de sanitização de dados. O servidor Telnet passa o nome de usuário fornecido pelo cliente diretamente para o sistema de login. Se um invasor enviar o comando com a variável de ambiente manipulada para -f root, o sistema interpreta que o usuário já está autenticado como administrador, contornando todas as proteções.

A falha foi descoberta pelo pesquisador Kyu Neushwaistein em 19 de janeiro de 2026. O erro original foi introduzido acidentalmente no código em março de 2015.

Ataques já começaram

Não é teórico: os hackers já estão explorando isso. A empresa de segurança GreyNoise detectou tentativas ativas de exploração vindas de endereços IP em Hong Kong, EUA, Japão e China nas últimas 24 horas.

O que fazer?

Se você administra servidores Linux que (por algum motivo) ainda utilizam Telnet:

  1. Atualize Imediatamente: Aplique os patches do projeto GNU.

  2. Mate o Telnet: A recomendação de ouro é desabilitar o servidor telnetd completamente e usar SSH, que é seguro.

  3. Mitigação: Se não puder atualizar, restrinja o acesso à porta do Telnet apenas para IPs de confiança.

Postado por
Editor-chefe no Hardware.com.br/GameVicio Aficionado por tecnologias que realmente funcionam. Segue lá no Insta: @plazawilliam Elogios, críticas e sugestões de pauta: william@hardware.com.br
Siga em:
Compartilhe
Deixe seu comentário
Assine nossa Newsletter
Assine nossa newsletter e receba nossa seleção de conteúdo sobre tecnologia, games, IA e internet em seu email.
Veja também
Publicações Relacionadas
Img de rastreio
Localize algo no site!