Un protocolo heredado acaba de abrir una enorme puerta trasera sin necesidad de contraseñas. Si tu red aún utiliza Telnet, estás corriendo un riesgo masivo.
Las tecnologías antiguas siguen demostrando ser el eslabón más débil de la infraestructura moderna. Este 18 de marzo de 2026, se reporta el descubrimiento de una vulnerabilidad crítica y actualmente sin parche en el demonio telnetd de GNU InetUtils. Este grave fallo permite a un atacante remoto (sin ningún tipo de autenticación previa) ejecutar código arbitrario con los máximos privilegios del sistema.
Ejecución antes del ‘Login’
Rastreada bajo el identificador CVE-2026-32746, la falla ha recibido una puntuación CVSS casi perfecta de 9.8 sobre 10.0. Se confirmo que afecta a todas las versiones de la implementación del servicio Telnet hasta la versión 2.7.
El núcleo técnico de esta brecha es una escritura fuera de los límites (out-of-bounds write) en el manejador de la subopción de caracteres locales (SLC) dentro del modo LINEMODE, lo que provoca un desbordamiento de búfer.
La explotación es alarmantemente sencilla:
- Un ciberdelincuente solo necesita enviar un mensaje de red especialmente diseñado durante el protocolo de enlace (handshake) de la conexión inicial.
- Debido a que este proceso ocurre durante la negociación de opciones, el error se activa a nivel de memoria antes de que el servidor siquiera muestre el mensaje de inicio de sesión o solicite credenciales.
- Según los investigadores, una única conexión hacia el puerto 23 es suficiente para ejecutar el ataque, sin necesidad de que la víctima interactúe y sin importar la posición del atacante en la red.
El Impacto: Control Absoluto
Dado que telnetd generalmente se ejecuta con privilegios de administrador o root (al operar bajo servicios del sistema como inetd o xinetd), una explotación exitosa le otorga al criminal el control absoluto de la máquina comprometida. Esto abre la puerta de par en par a acciones de post-explotación, tales como la instalación de puertas traseras persistentes, la exfiltración masiva de datos confidenciales y el movimiento lateral hacia otros segmentos más críticos de la red corporativa.
Acciones de Mitigación de Emergencia
Se espera que los desarrolladores publiquen un parche oficial a más tardar el 1 de abril de 2026. Mientras tanto, ante la ausencia de una solución definitiva, los expertos en seguridad instan a tomar medidas drásticas:
- Deshabilitar el servicio Telnet por completo si no es una necesidad crítica para el negocio.
- Bloquear agresivamente el puerto 23 en el perímetro de la red y en todos los cortafuegos (firewalls) basados en host.
- En caso de ser indispensable operarlo de forma interna, aislar estrictamente el acceso y forzar a telnetd a ejecutarse sin privilegios de root.
Cabe destacar que esta divulgación ocurre apenas dos meses después de que CISA alertara sobre otro fallo crítico en el mismo demonio (CVE-2026-24061), el cual ya está siendo aprovechado activamente por grupos criminales en la naturaleza.
