krytyczna podatność w serwerze Telnet pakietu GNU Inetutils
CSIRT CeZ ostrzega: krytyczna podatność w serwerze Telnet pakietu GNU Inetutils, oznaczona jako CVE-2026-32746, zagraża szerokiej gamie urządzeń oraz systemów Linux/Unix wykorzystujących Telnet do zdalnego zarządzania. Podatność umożliwia zdalne przejęcie pełnej kontroli nad systemem bez konieczności uwierzytelnienia, co stawia pod znakiem zapytania bezpieczeństwo infrastruktury korzystającej z przestarzałych usług Telnet.
Charakterystyka podatności
- CVE-2026-32746
- CVSS: 3.1 9,8 (Critical)
Krytyczna podatność w implementacji serwera Telnet (GNU InetUtils telnetd do wersji 2.7) używanego m.in na różnych urządzeniach i systemach Linux/Unix (OT/ICS) do zdalnego zarządzania poprzez protokół Telnet.
Podatne systemy
Implementacja serwera telnetd pakietu GNU Inetutils do wersji 2.7 włącznie.
Rekomendowane działania
Dzisiaj brak jest dostępnych łatek bezpieczeństwa. Wydanie zaplanowane jest dopiero na początek kwietnia 2026, dlatego rekomendujemy:
- wyłączenie usługi Telnet wszędzie tam, gdzie jest to możliwe i nie zakłóci prawidłowej pracy urządzeń,
- tam, gdzie jest to niemożliwe wprowadzenie ograniczenia dostępu zdalnego do usługi wyłącznie z zaufanych adresów IP przez VPN,
- wykorzystywanie bezpieczniejszych protokołów zapewniających szyfrowanie przesyłanych danych, np. SSH,
- zalecenie wzmocnienia monitoringu ruchu sieciowego oraz analizę logów związanych z podatną usługą w celu wykrycia ewentualnych prób wykorzystania przedmiotowej podatności,
- po udostępnieniu łatki bezpieczeństwa, jej niezwłoczną implementację.