CISA alerta para vulnerabilidades Linux exploradas ativamente

A Agência de Cibersegurança e Segurança das Infraestruturas dos Estados Unidos (CISA) reforçou esta semana o seu Known Exploited Vulnerabilities (KEV) Catalog, acrescentando cinco novas falhas exploradas ativamente, incluindo duas vulnerabilidades que afetam sistemas Linux.

A mais grave é a CVE-2026-24061, com uma pontuação CVSS de 9,8, que afeta o GNU Inetutils, mais concretamente o serviço GNU telnetd. Trata-se de uma falha de bypass de autenticação causada pela ausência de validação da variável de ambiente USER antes de esta ser passada à função de login.

Através do protocolo Telnet, um atacante pode controlar essa variável e introduzir o parâmetro -f, permitindo contornar o processo de autenticação. Segundo a SafeBreach, citada pela Security Week, a exploração bem-sucedida possibilita ao atacante obter uma shell com privilégios de root, resultando em execução remota de código.

A vulnerabilidade foi introduzida na versão 1.9.3 do GNU Inetutils, lançada em maio de 2015, e afeta todas as versões até à 2.7, disponibilizada em dezembro de 2025. Poucos dias após a divulgação pública da falha, a GreyNoise identificou 60 tentativas de exploração provenientes de 18 fontes distintas, envolvendo atividades de reconhecimento, persistência via SSH e instalação de malware.

Embora existam mais de 200 mil sistemas com serviços Telnet expostos à Internet, um número que, segundo a Censys, poderá ser ainda mais elevado, apenas os que utilizam especificamente o GNU telnetd estão vulneráveis.

A segunda vulnerabilidade Linux adicionada ao KEV é a CVE-2018-14634, com um CVSS de 7,8. Esta falha, descoberta pela Qualys, consiste num integer overflow no kernel Linux que pode permitir a escalada de privilégios para root a partir de um binário privilegiado. Apesar de conhecida desde 2018, e de exigir sistemas com pelo menos 32 GB de RAM, não existiam até agora registos públicos de exploração ativa.

Para além das falhas em Linux, a CISA incluiu também no KEV duas vulnerabilidades no SmarterMail, reportadas como exploradas recentemente, bem como um zero-day no Microsoft Office. As agências federais norte-americanas têm até 16 de fevereiro para corrigir estas falhas, de acordo com a diretiva operacional em vigor.

A CISA recomenda que todas as organizações públicas e privadas revejam regularmente o catálogo KEV e apliquem, com prioridade, as correções e mitigações disponíveis para reduzir o risco de compromissos ativos.