Le 20 janvier 2026, les détails d’une vulnérabilité affectant le démon telnet (telnetd) ont été rendus publics. Identifiée sous la référence CVE-2026-24061, cette faille permet à un attaquant de contourner l’authentification et d’accéder à une machine vulnérable avec les privilèges de l’utilisateur root.
Une faille introduite en 2015
La vulnérabilité a été introduite en mars 2015. Elle concerne les versions 1.9.3 à 2.7 de GNU InetUtils, la suite logicielle qui intègre telnetd. L’exploitation de cette brèche est considérée comme triviale, et un code d’exploitation fonctionnel circule publiquement depuis la divulgation initiale, ce qui accroît le risque pour les systèmes non corrigés.
Le 29 avril 2026, un correctif a été mis à disposition. Il est inclus dans la version 2.8 de GNU InetUtils. L’agence recommande vivement d’appliquer cette mise à jour dès que possible.
Des services telnet encore exposés
Les autorités constatent que de nombreux services telnet restent accessibles sur Internet, une situation jugée contraire aux bonnes pratiques de sécurité. Le protocole Telnet, qui transmet les données en clair, est depuis longtemps déconseillé au profit de solutions chiffrées comme SSH.
Le CERT-FR préconise le décommissionnement de tout service telnet. Si son maintien est absolument nécessaire, plusieurs mesures doivent être adoptées : ne pas l’exposer directement sur Internet, limiter l’accès à un nombre restreint d’adresses IP de confiance, et appliquer le correctif dès sa disponibilité.
Recommandations de l’agence
L’agence rappelle que le service telnet, hérité des débuts des réseaux, ne bénéficie pas des mécanismes de sécurité modernes. Son usage prolongé expose les organisations à des risques élevés de compromission. La publication d’un code d’exploitation public pour CVE-2026-24061 rend la menace encore plus pressante. Les administrateurs système sont invités à vérifier la version de GNU InetUtils installée sur leurs équipements et à migrer vers des protocoles sécurisés dès que possible.
