AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

**Cerca de 800.000 servidores expuestos a ataques por una vulnerabilidad crítica en Telnetd de GNU InetUtils**

admin

### 1. Introducción

La reciente detección de casi 800.000 direcciones IP con instancias de Telnet expuestas a Internet ha encendido las alarmas en la comunidad de ciberseguridad. El hallazgo, realizado por la fundación Shadowserver, coincide con una ola de ataques activos que explotan una vulnerabilidad crítica de omisión de autenticación en el servidor telnetd, perteneciente al paquete GNU InetUtils. Esta situación plantea una seria amenaza para miles de organizaciones a nivel global y exige una respuesta técnica y coordinada.

### 2. Contexto del Incidente o Vulnerabilidad

Telnet, aunque considerado obsoleto y ampliamente reemplazado por protocolos más seguros como SSH, sigue presente en numerosos sistemas legacy, dispositivos de red, servidores industriales y equipos IoT. El servidor telnetd de GNU InetUtils, incluido de serie en muchas distribuciones GNU/Linux, ha sido identificado como vulnerable ante una falla de autenticación crítica. Esta vulnerabilidad ha sido documentada oficialmente y ya está siendo explotada en ataques activos, según alertas recientes de varios CSIRT y equipos de respuesta SOC.

El escaneo masivo realizado por Shadowserver entre el 20 y 23 de junio de 2024 ha identificado 799.357 IPs con el puerto Telnet (23/TCP) accesible y respondiendo a peticiones que revelan la huella digital de Telnetd de GNU InetUtils. El aumento en el interés de los actores de amenazas sugiere que la explotación está lejos de ser anecdótica.

### 3. Detalles Técnicos

La vulnerabilidad, registrada como **CVE-2024-3094**, afecta a múltiples versiones de GNU InetUtils, especialmente las comprendidas entre la 1.9.2 y la última estable disponible a junio de 2024. El fallo reside en una incorrecta validación de las credenciales de acceso, permitiendo la omisión total del proceso de autenticación bajo determinadas condiciones de envío de paquetes malformados o secuencias específicas de comandos Telnet.

**Vectores de ataque:**
– Acceso remoto sin autenticación mediante Telnet, usando scripts automatizados.
– Explotación mediante herramientas como Metasploit, que ya dispone de un módulo funcional para CVE-2024-3094 desde el 21 de junio de 2024.
– Uso de botnets para escaneo y explotación en masa, con técnicas de brute force y secuencias de escape.

**TTPs (MITRE ATT&CK):**
– **T1078** (Valid Accounts)
– **T1021.004** (Remote Services: Telnet)
– **T1190** (Exploit Public-Facing Application)
– **T1210** (Exploitation of Remote Services)

**Indicadores de compromiso (IoC):**
– Conexiones inusuales al puerto 23/TCP desde rangos IP asociados a escáneres automatizados.
– Creación de cuentas de usuario sin intervención legítima.
– Modificación de archivos de sistema en /etc/ y /var/ tras la explotación.

### 4. Impacto y Riesgos

Las consecuencias de una explotación exitosa de esta vulnerabilidad son graves. Un atacante puede obtener acceso shell sin necesidad de credenciales, lo que le permite ejecutar comandos arbitrarios, instalar malware, pivote en la red interna y exfiltrar datos sensibles. El riesgo es especialmente alto en entornos industriales, sistemas OT y dispositivos IoT, donde Telnet sigue siendo habitual por motivos de compatibilidad.

Según estimaciones de Shadowserver, más del 60% de los sistemas expuestos corresponden a infraestructuras empresariales o críticas, incluyendo ISP, universidades y organismos gubernamentales. El coste potencial de una brecha de este tipo, considerando la media del sector según IBM/Ponemon, podría superar los 4,5 millones de dólares por incidente, sin contar sanciones regulatorias como las impuestas por GDPR o la futura NIS2 en la UE.

### 5. Medidas de Mitigación y Recomendaciones

– **Deshabilitar Telnet:** Eliminar o bloquear el servicio Telnet en todos los sistemas donde no sea estrictamente necesario.
– **Actualizar InetUtils:** Aplicar inmediatamente las actualizaciones oficiales de GNU InetUtils que corrigen CVE-2024-3094.
– **Firewalling:** Limitar el acceso al puerto 23/TCP a segmentos internos y monitorizar accesos no autorizados.
– **Monitorización y detección:** Implementar reglas de detección específicas en SIEM y EDR para identificar actividad sospechosa en Telnet.
– **Inventario y segmentación:** Realizar un inventario exhaustivo de dispositivos legacy y segmentar aquellos que requieran Telnet por motivos operativos.
– **Pruebas de intrusión:** Realizar pentests focalizados en los sistemas expuestos aprovechando frameworks como Metasploit, para evaluar la exposición real y el riesgo de explotación.

### 6. Opinión de Expertos

Especialistas en ciberseguridad como Jake Williams (ex-NSA, SANS) y el equipo de CERT-EU coinciden en que la persistencia de Telnet en redes corporativas es una amenaza latente: “No es solo la vulnerabilidad actual, es la superficie de ataque que queda abierta por herencia técnica y negligencia operativa”. Además, advierten sobre la posibilidad de que los cibercriminales utilicen este vector para desplegar ransomware o acceder a infraestructuras críticas, aprovechando la baja visibilidad y monitorización de estos servicios legacy.

### 7. Implicaciones para Empresas y Usuarios

Para las empresas, el incidente subraya la necesidad de una gestión proactiva de los activos y la deprecarización de protocolos inseguros. La exposición puede acarrear sanciones bajo GDPR por negligencia en la protección de datos personales, y la NIS2 exigirá en breve controles más estrictos sobre servicios remotos. Para los usuarios finales, especialmente en entornos industriales y de telecomunicaciones, la recomendación es exigir a sus proveedores la eliminación de Telnet y la adopción de estándares modernos de cifrado y autenticación.

### 8. Conclusiones

La exposición masiva de servidores Telnet y la explotación activa de CVE-2024-3094 demuestran que las amenazas asociadas a servicios legacy siguen siendo relevantes y peligrosas. La rápida acción de inventario, parcheo y segmentación de servicios es prioritaria. La colaboración entre equipos SOC, administradores de sistemas y responsables de cumplimiento normativo será clave para reducir la superficie de ataque y mitigar el impacto de futuros incidentes similares.

(Fuente: www.bleepingcomputer.com)