Aanvallers maken actief misbruik van een kritieke telnet-kwetsbaarheid voor het aanvallen van systemen, zo melden de Italiaanse autoriteiten en securitybedrijf GreyNoise. Het beveiligingslek is aanwezig in de telnet daemon van GNU Inetutils, een verzameling van netwerkprogramma's, waaronder een telnet-client en -server, een ftp-client en -server en rsh-client en -server.

De kwetsbaarheid, aangeduid als CVE-2026-24061, maakt het voor een aanvaller mogelijk om de authenticatie te omzeilen en rootrechten op de aangevallen server te krijgen. "Deze kwetsbaarheid is zeer eenvoudig uit te buiten en exploitcode hiervoor is publiek beschikbaar. Het NCSC verwacht dan ook dat er bij publiek toegankelijke telnet servers op korte termijn misbruik van deze kwetsbaarheid plaats zal vinden", zo waarschuwde het Nationaal Cyber Security Centrum (NCSC) vorige week. De impact van het lek is op een schaal van 1 tot en met 10 beoordeeld met een 9.8.

Inmiddels maken aanvallers ook misbruik van het lek. Zo heeft GreyNoise meerdere ip-adressen gezien waarvandaan aanvallen worden uitgevoerd. Bij een succesvolle aanval installeren de aanvallers malware op de server. Het securitybedrijf heeft verschillende indicators of compromise (IoC's) over de aanvallen gedeeld, zodat organisaties kunnen kijken of hun systemen zijn gecompromitteerd. Het Italiaanse Computer Security Incident Response Team (CSIRT) maakt ook melding van misbruik, maar geeft geen verdere details.