Onderzoekers hebben een kritieke beveiligingsfout in de GNU InetUtils telnet daemon (telnetd) bekendgemaakt die een ongeauthenticeerde aanvaller in staat stelt om op afstand willekeurige code met rootrechten uit te voeren. De kwetsbaarheid, geregistreerd als CVE-2026-32746, heeft een CVSS-score van 9,8 en betreft een out-of-bounds write in de LINEMODE Set Local Characters (SLC) suboptie-handler, wat leidt tot een buffer overflow en uiteindelijk code-executie mogelijk maakt.

De Israëlische cybersecurityfirma Dream ontdekte en meldde de kwetsbaarheid op 11 maart 2026. De fout treft alle versies van de Telnet-service tot en met versie 2.7. Een patch wordt uiterlijk 1 april 2026 verwacht. Volgens Dream kan een aanvaller de kwetsbaarheid misbruiken door tijdens de initiële verbinding, nog voordat een login prompt verschijnt, een speciaal geconstrueerd bericht te sturen. Eén netwerkverbinding naar poort 23 is voldoende om de kwetsbaarheid te triggeren, zonder dat er credentials, gebruikersinteractie of een bijzondere netwerkpositie nodig zijn.

De SLC-handler verwerkt de optie-onderhandeling tijdens het Telnet-protocolhandshake. Omdat de fout al vóór authenticatie kan worden geactiveerd, kan een aanvaller direct na het tot stand brengen van de verbinding schadelijke protocolberichten sturen. Als telnetd met rootrechten draait, kan succesvolle exploitatie leiden tot volledige systeemcompromittering. Dit opent de deur naar post-exploitatieactiviteiten zoals het plaatsen van persistente backdoors, datadiefstal en laterale beweging binnen het netwerk via het gecompromitteerde systeem.

Dream-onderzoeker Adiel Sol legt uit dat de overflow het geheugen corrumpeert en kan worden omgezet in willekeurige schrijfacties, wat in de praktijk leidt tot remote code execution. Omdat telnetd doorgaans als root draait, betekent een succesvolle aanval volledige controle over het systeem voor de aanvaller. Totdat een patch beschikbaar is, wordt geadviseerd de Telnet-service uit te schakelen indien niet noodzakelijk, telnetd zonder rootrechten te draaien waar mogelijk, poort 23 te blokkeren op netwerk- en hostfirewalls en Telnet-toegang te isoleren.

Deze bekendmaking volgt op een eerdere kritieke kwetsbaarheid in GNU InetUtils telnetd (CVE-2026-24061) met dezelfde CVSS-score, die eveneens roottoegang mogelijk maakte en inmiddels actief wordt misbruikt, aldus de Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA).