最近公表されたGNU InetUtilsのtelnetデーモン(telnetd)における重大な脆弱性は、悪用が「容易」だと専門家は述べている。
このバグは約11年もの間見過ごされてきたが、1月20日に公開され、CVE-2026-24061(9.8)として追跡されている。
これは2015年5月のアップデートで導入されたもので、いまだにtelnetdを動かしている数少ない人は今すぐパッチを当てるべきだ。すでに攻撃が進行している。
GreyNoiseのデータによると、過去24時間で15のユニークIPが、この脆弱性を利用してリモート認証バイパス攻撃を実行しようとしていた。
セキュリティ勧告では、このバグにより攻撃者が標的システムへのrootアクセスを容易に得られると説明している。
「telnetdサーバは、クライアントから受け取ったUSER環境変数の値を最後のパラメータとして渡し、/usr/bin/login(通常rootとして実行)を呼び出す」とGNUのコントリビューターであるSimon Josefssonは書いている。
「クライアントが[原文ママ] 文字列 ‘-f root’ となるよう細工したUSER環境変数の値を供給し、telnet(1) の -a または –login パラメータを渡してこのUSER環境変数をサーバに送ると、通常の認証プロセスを回避してクライアントは自動的にrootとしてログインされる。」
Rapid7のシニア・プリンシパル・リサーチャーであるStephen FewerはThe Registerに対し、この脆弱性には「いくつもの懸念すべき要因」があると語った。
この脆弱性の性質は引数インジェクションの欠陥であり、たとえばメモリ破壊バグのようなより複雑な種類に比べて、悪用の試行がより確実になりやすいことを意味する。攻撃者が成功裏に悪用できる容易さも懸念点だ。
「この脆弱性の悪用は簡単です。公開情報に記載されているとおり、特定のtelnetコマンドを実行してリモートサーバに接続するだけで問題を引き起こし、攻撃者にrootアクセスを与えられます」とFewerは述べた。
「Rapid7 Labsはこの脆弱性を検証し、悪用が容易で、標的上で完全なrootアクセスに至ることを確認しました。」
Fewerはさらに、2026年にtelnetdを動かしている人は、おそらく動かすべきではないとも述べた。このプログラムは暗号化されていないため、攻撃者はパケットスニッフィングによってログイン試行やセッションを傍受できる。
ユーザーは少なくともtelnetdを最新バージョンに更新し、ウェブから遮断すべきだが、より望ましいのはSSHのような、より安全な代替手段へ移行することだ。
Josefssonも勧告の中で、最も重要な推奨はtelnetdサーバをそもそも動かさないことであり、telnetポートへのネットワークアクセスを信頼できるクライアントのみに制限することだと述べている。
telnetdは、SSHのような代替手段がはるかに人気となったことで何年も前に廃れたが、一般的な認識に反して、依然として相当数の稼働中デプロイが存在する。
フランスのCERTは水曜日に勧告を出し、「多くのtelnetサービスがインターネット上からアクセス可能であり、これは良い慣行に反する。したがってCERT-FRは、すべてのtelnetサービスの廃止を推奨する」と述べた。
カナダおよびベルギーの国家サイバーセキュリティ当局も同様の推奨を繰り返し、悪用が成功した場合のリスクを警告するとともに、telnetdの廃止を促した。 ®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2026/01/22/root_telnet_bug/
