Các nhà nghiên cứu an ninh mạng đã tiết lộ một lỗ hổng bảo mật nghiêm trọng ảnh hưởng đến dịch vụ telnet daemon (telnetd) của GNU InetUtils, mà kẻ tấn công từ xa không cần xác thực có thể khai thác để thực thi mã tùy ý với đặc quyền nâng cao.
Lỗ hổng, được theo dõi với mã CVE-2026-32746, có điểm CVSS là 9.8 trên thang điểm 10.0. Nó được mô tả là một trường hợp ghi ngoài giới hạn (out-of-bounds write) trong trình xử lý SLC (LINEMODE Set Local Characters) dẫn đến tràn bộ đệm (buffer overflow), cuối cùng mở đường cho việc thực thi mã.
Công ty an ninh mạng Dream của Israel, đơn vị đã phát hiện và báo cáo lỗ hổng vào ngày 11 tháng 3 năm 2026, cho biết lỗ hổng này ảnh hưởng đến tất cả các phiên bản của dịch vụ Telnet triển khai tới 2.7. Bản vá cho lỗ hổng dự kiến sẽ có sẵn không muộn hơn ngày 1 tháng 4 năm 2026.
"Kẻ tấn công từ xa không cần xác thực có thể khai thác điều này bằng cách gửi một thông điệp được tạo riêng trong quá trình bắt tay kết nối ban đầu — trước khi bất kỳ lời nhắc đăng nhập nào xuất hiện," Dream cho biết trong một cảnh báo. "Khai thác thành công có thể dẫn đến thực thi mã từ xa với quyền root."
"Một kết nối mạng duy nhất đến cổng 23 là đủ để kích hoạt lỗ hổng. Không yêu cầu thông tin đăng nhập, không cần tương tác người dùng và không cần vị trí mạng đặc biệt."
Trình xử lý SLC, theo Dream, xử lý quá trình đàm phán tùy chọn trong quá trình bắt tay giao thức Telnet. Tuy nhiên, do lỗ hổng có thể được kích hoạt trước khi xác thực, kẻ tấn công có thể vũ khí hóa nó ngay sau khi thiết lập kết nối bằng cách gửi các thông điệp giao thức được tạo riêng.
Khai thác thành công có thể dẫn đến việc hệ thống bị xâm nhập hoàn toàn nếu telnetd chạy với đặc quyền root. Điều này, đến lượt nó, có thể mở ra cánh cửa cho nhiều hành động sau khai thác khác nhau, bao gồm triển khai các cửa hậu (backdoors) dai dẳng, đánh cắp dữ liệu (data exfiltration) và di chuyển ngang (lateral movement) bằng cách sử dụng các máy chủ bị xâm nhập làm điểm tựa.
"Một kẻ tấn công không cần xác thực có thể kích hoạt nó bằng cách kết nối đến cổng 23 và gửi một tùy chọn phụ SLC được tạo riêng với nhiều bộ ba," theo nhà nghiên cứu bảo mật Adiel Sol của Dream.
"Không yêu cầu đăng nhập; lỗi xảy ra trong quá trình đàm phán tùy chọn, trước lời nhắc đăng nhập. Tràn bộ đệm làm hỏng bộ nhớ và có thể được chuyển thành ghi tùy ý. Trong thực tế, điều này có thể dẫn đến thực thi mã từ xa. Bởi vì telnetd thường chạy với quyền root (ví dụ, dưới inetd hoặc xinetd), một cuộc khai thác thành công sẽ cung cấp cho kẻ tấn công toàn quyền kiểm soát hệ thống."
Trong trường hợp chưa có bản vá, khuyến nghị nên tắt dịch vụ nếu không cần thiết, chạy telnetd mà không có đặc quyền root khi bắt buộc, chặn cổng 23 ở cấp độ tường lửa mạng và tường lửa dựa trên máy chủ để hạn chế truy cập, và cô lập quyền truy cập Telnet.
Việc tiết lộ này diễn ra gần hai tháng sau khi một lỗ hổng bảo mật nghiêm trọng khác được công bố trong GNU InetUtils telnetd (CVE-2026-24061, điểm CVSS: 9.8) có thể được khai thác để chiếm quyền root trên hệ thống mục tiêu. Lỗ hổng này kể từ đó đã bị khai thác tích cực trong thực tế, theo Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (U.S. Cybersecurity and Infrastructure Security Agency).
