Uma nova falha de segurança crítica afeta a implementação do serviço Telnet (telnetd) do pacote GNU InetUtils, permitindo que um atacante remoto sem autenticação execute código arbitrário com privilégios máximos. A descoberta foi feita pela empresa de cibersegurança israelita Dream a 11 de março de 2026, com os detalhes técnicos a serem também comunicados na lista de correio da GNU.
O perigo antes da palavra-passe
A vulnerabilidade, identificada pelo código CVE-2026-32746, regista uma pontuação CVSS de 9.8 em 10.0. O problema tem origem numa escrita fora de limites no processador da subopção LINEMODE Set Local Characters, o que resulta num transbordo de memória. Como este processamento ocorre logo durante a fase de negociação do protocolo, o ataque pode ser desencadeado no momento imediato da ligação, antes de surgir qualquer ecrã de autenticação.
O investigador de segurança Adiel Sol explicou que basta uma simples ligação de rede à porta 23 para explorar a vulnerabilidade através do envio de uma mensagem manipulada com vários tripletos. Não são necessárias credenciais, interação do utilizador ou uma posição privilegiada na rede. O investigador detalhou que o transbordo corrompe a memória e pode ser transformado em escritas arbitrárias, culminando na execução remota de código.
Mitigação e histórico de ameaças
O problema afeta todas as versões da implementação do serviço Telnet até à versão 2.7. Como este daemon costuma operar com privilégios de administrador em sistemas baseados em Linux ou Unix, uma exploração com sucesso garante aos piratas informáticos o controlo absoluto do equipamento. A partir desse ponto, abre-se a porta a ações de pós-exploração, que incluem a extração de dados, a instalação de portas traseiras persistentes e a movimentação lateral na infraestrutura.
A disponibilização de uma correção está agendada para o dia 1 de abril de 2026, no máximo. Para já, a recomendação principal das equipas de segurança passa por desativar o serviço caso não seja estritamente necessário. Caso a sua utilização seja indispensável, o serviço não deve ser executado com privilégios de administrador, devendo-se isolar o acesso e bloquear a porta 23 ao nível da firewall.
Esta divulgação acontece cerca de dois meses após a descoberta de outra falha crítica no mesmo serviço (CVE-2026-24061, também com uma pontuação CVSS de 9.8), que permitia a obtenção de acesso de administrador no sistema alvo. A Agência de Cibersegurança e Segurança de Infraestruturas dos Estados Unidos reportou que essa vulnerabilidade anterior já se encontra a ser ativamente explorada.
Nenhum comentário
Seja o primeiro!