Le 20 janvier 2026, les détails de la vulnérabilité CVE-2026-24061, affectant telnetd, ont été publiés.
Cette vulnérabilité permet à un attaquant de contourner l'authentification et de se connecter à une machine vulnérable en tant que l'utilisateur root.
Elle a été introduite en mars 2015 et affecte GNU InetUtils versions 1.9.3 à 2.7. Aucun correctif officiel n'est disponible pour l'instant.
De plus, cette vulnérabilité est triviale à exploiter et un code d'exploitation est publiquement disponible.
Le CERT-FR constate de nombreux services telnet accessibles sur Internet, ce qui est contraire aux bonnes pratiques.
Le CERT-FR recommande donc le décommissionnement de tout service telnet.
Si cela n'est pas possible :
- il faut a minima ne pas l'exposer directement sur Internet ;
- restreindre l'accès à un minimum d'adresses ip de confiance ;
- appliquer les correctifs dès que ceux-ci seront disponibles.
Documentation
- https://www.openwall.com/lists/oss-security/2026/01/20/2
- https://nvd.nist.gov/vuln/detail/CVE-2026-24061
- Recommandations pour un usage sécurisé d’(Open)SSH
https://messervices.cyber.gouv.fr/documents-guides/NT_OpenSSH.pdf
