Nach Darstellung von Dream verarbeitet der SLC-Handler die Optionsaushandlung während des Telnet-Protokoll-Handshakes. Da der Fehler jedoch noch vor der Authentifizierung greift, kann ein Angreifer ihn unmittelbar nach dem Verbindungsaufbau ausnutzen, indem er speziell präparierte Protokollnachrichten sendet.
“Ein nicht authentifizierter Angreifer aus der Ferne kann die Lücke ausnutzen, indem er während des ersten Verbindungs-Handshakes eine speziell gestaltete Nachricht sendet – noch bevor eine Anmeldeaufforderung erscheint”, erklärte Dream in einer Warnung. “Eine erfolgreiche Ausnutzung kann zur Codeausführung als root führen.” Eine einzige Verbindung zu Port 23 reiche aus, um die Schwachstelle auszulösen.
Dream-Sicherheitsforscher Adiel Sol beschreibt den Ablauf genauer: Der Angreifer verbindet sich mit Port 23 und sendet eine präparierte SLC-Suboption mit vielen Triplets. “Es ist keine Anmeldung erforderlich; der Fehler wird während der Optionsaushandlung getroffen, vor der Anmeldeaufforderung. Der Überlauf beschädigt den Speicher und lässt sich in beliebige Schreibzugriffe verwandeln.” In der Praxis könne das zur Codeausführung aus der Ferne führen. Da telnetd üblicherweise als root laufe – etwa unter inetd oder xinetd –, verschaffe ein erfolgreicher Angriff dem Angreifer die volle Kontrolle über das System.
Läuft der Dienst mit root-Rechten, droht somit eine vollständige Kompromittierung. Daran können sich nach Einschätzung von Dream weitere Schritte anschließen, darunter das Einrichten dauerhafter Hintertüren, der Abfluss von Daten und die seitliche Ausbreitung im Netzwerk, indem die übernommenen Hosts als Sprungbrett genutzt werden.
Solange kein Patch verfügbar ist, raten die Forscher dazu, den Dienst abzuschalten, sofern er nicht benötigt wird, telnetd andernfalls ohne root-Rechte zu betreiben, Port 23 sowohl am Netzwerkrand als auch auf Host-Ebene per Firewall zu sperren und den Telnet-Zugang zu isolieren.
Die Offenlegung erfolgt knapp zwei Monate nach einer weiteren kritischen Schwachstelle in GNU InetUtils telnetd (CVE-2026-24061, CVSS-Wert 9,8), über die sich ebenfalls root-Zugriff auf ein Zielsystem erlangen lässt. Diese Lücke wird laut der US-Behörde CISA inzwischen aktiv ausgenutzt.
