Une faille de sécurité critique (CVE-2026-24061) a été découverte dans le composant InetUtils utilisé pour les accès Telnet. D’une simplicité alarmante, cette vulnérabilité permet à un attaquant distant d’obtenir un accès root sans authentification. Mauvaise nouvelle : elle est déjà exploitée par les cybercriminels. Voici ce qu’il faut savoir.
En parcourant la newsletter de la CISA il y a quelques jours, une faille m’avait interpellé : la CVE-2026-24061. Liée à GNU InetUtils, celle-ci venait d’intégrer le catalogue des vulnérabilités exploitées à la date du 26 janvier 2026. C’est finalement un post LinkedIn d’Alexis Koestel, publié aujourd’hui, qui m’a incité à creuser le sujet pour de bon.
Une faille de sécurité très facile à exploiter…
C’est un rappel brutal que les vieux protocoles réservent parfois de très mauvaises surprises.
Cette vulnérabilité divulguée le 21 janvier 2026 et associée à la référence CVE-2026-24061 est considérée comme critique : elle affiche un score CVSS v3.1 de 9.8/10. Elle affecte directement telnetd, le serveur Telnet inclus dans le paquet GNU InetUtils, présent sur de nombreux systèmes Linux, notamment les systèmes embarqués.
Le problème de sécurité associé à la CVE-2026-24061 repose sur une absence de nettoyage de la variable d’environnement USER envoyée en entrée. En effet, lorsqu’un client Telnet se connecte, il peut transmettre certaines variables d’environnement à la machine distante. Sauf que dans le cas présent, telnetd ne vérifie pas correctement la variable USER avant d’initier la connexion au système.
Concrètement, un attaquant peut fournir la valeur -f root pour forcer une authentification avec l’utilisateur spécifié. Dans le cas présent, vous l’avez compris, l’attaquant obtient un shell root, sans avoir à deviner le moindre mot de passe ni à effectuer de manœuvres complexes. C’est super simple à exploiter !
“Il s’agit d’une compromission à distance en une seule étape qui accorde un contrôle administratif total sur l’hôte. Un attaquant peut établir une persistance, extraire des identifiants, pivoter vers des réseaux adjacents ou perturber les opérations. Le risque est amplifié lorsque telnetd est présent sur les réseaux de gestion, les environnements OT ou les appareils déployés en flotte qui sont difficiles à reconstruire ou à corriger rapidement.”, précise un rapport publié par Horizon3.ai.
Comment se protéger ?
Vous allez me dire : “J’utilise SSH, alors rien à faire de cette faille de sécurité.” – Il est évident que Telnet n’est pas un protocole à la mode en 2026, le SSH lui est préféré depuis longtemps. Mais vérifiez tout de même s’il n’y a pas un accès Telnet actif sur certaines machines, même si vous ne l’utilisez pas.
Le danger n’est pas théorique. L’agence CISA a confirmé l’exploitation de cette vulnérabilité par les cybercriminels. De plus, d’après une analyse publiée par GreyNoise, 111 adresses IP ont été observées en train de tenter d’exploiter cette vulnérabilité sur les 24 dernières heures.
En pratique, les attaquants scannent le réseau à la recherche de machines avec le port 23 (TCP) ouvert et injectent la variable USER malveillant pour tenter de prendre le contrôle des cibles vulnérables.
Source : Grey Noise
Les versions affectées de GNU InetUtils vont de la 1.9.3 à la 2.7. Les correctifs pour la CVE-2026-24061 ont été publiés le 20 janvier 2026.
“Attention : les équipements réseau comme Cisco qui n’utilisent pas GNU telnetd ne sont pas concernés.”, précise Alexis Koestel dans son post LinkedIn.
Désormais, vous devez :
Appliquez les correctifs : mettez à jour GNU InetUtils vers une version patchée pour protéger votre accès Telnet (oui, il y a toujours des cas particuliers qui justifient un Telnet….)
Désactivez Telnet : si vous le pouvez, c’est bien entendu la solution la plus recommandable. Telnet est un protocole obsolète qui fait transiter les données en clair sur le réseau.
Qu’en pensez-vous ?
Ingénieur système et réseau, cofondateur d’IT-Connect et Microsoft MVP “Cloud and Datacenter Management”. Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.