最近公開された重大度クリティカルの脆弱性を標的とする協調的なキャンペーンが確認されました。この脆弱性は、GNU InetUtils の telnetd サーバーに11年間存在していました。
このセキュリティ問題は CVE-2026-24061 として追跡されており、1月20日に報告されました。悪用は容易で、複数のエクスプロイト例が公開されています。
バグは2015年から残存
オープンソースのコントリビューターである Simon Josefsson は説明していますが、GNU InetUtils の telnetd コンポーネントには、‘/usr/bin/login’ を起動する際に環境変数を未サニタイズのまま扱うことに起因する、リモート認証バイパスの脆弱性が含まれています。
この欠陥は、telnetd がユーザー制御可能な USER 環境変数をサニタイズせずにそのまま login(1) に渡してしまうために発生します。USER を -f root に設定し、telnet -a コマンドで接続することで、攻撃者は認証をスキップして root アクセスを取得できます。
この問題は GNU InetUtils の 1.9.3(2015年リリース)から 2.7 までのバージョンに影響し、2.8 で修正されました。安全なリリースへアップグレードできない場合の緩和策としては、telnetd サービスを無効化する、またはすべてのファイアウォールで TCP ポート 23 をブロックすることが挙げられます。
GNU InetUtils は、GNU Project によって保守され、複数の Linux ディストリビューションで利用されている、古典的なネットワークのクライアント/サーバーツール(telnet/telnetd、ftp/ftpd、rsh/rshd、ping、traceroute)のコレクションです。
Telnet は安全ではないレガシーコンポーネントで、主に SSH に置き換えられていますが、互換性や特定用途の要件のために、多くの Linux/Unix システムには依然として含まれています。特に、その簡便さと低オーバーヘッドから、産業分野で広く見られます。
レガシー機器や組み込み機器では、10年以上アップデートなしで稼働することもあり、IoT デバイス、カメラ、産業用センサー、運用技術(OT)ネットワークに存在している理由となっています。
より技術的なユーザーの中には、いまでも一部のプロジェクトで telnet に依存している人もいます:
別のユーザーは、寿命(EOL)を大きく過ぎた古い Cisco 機器に接続するために telnet を使っていることを 確認しました。「SSH も同じ問題」と述べています。
しかし、公開インターネット上で telnet が有効なまま露出しているデバイスは少なく、多くの研究者が CVE-2026-24061 の脆弱性をそれほど重大ではないと評しています。
脅威監視企業の GreyNoise は報告しています。少数の脆弱なエンドポイントに対して、CVE-2026-24061 を悪用する実環境での攻撃活動を検知したとのことです。
1月21日から22日にかけて記録されたこの活動は、18個のユニークな攻撃者IPからのもので、60件の Telnet セッションにわたり、すべて100%悪性と判定されました。送信されたパケットは1,525個、合計101.6KBでした。
出典: GreyNoise
攻撃は Telnet の IAC オプションネゴシエーションを悪用して ‘USER=-f <user>’ を注入し、認証なしでシェルアクセスを付与します。GreyNoise によれば、活動の大半は自動化されているように見える一方で、いくつかの「人間がキーボードで操作している」ケースも確認したとのことです。
攻撃は端末速度、種類、X11 DISPLAY の値がさまざまでしたが、83.3%のケースで ‘root’ ユーザーが標的となっていました。
侵害後の段階では、攻撃者は自動化された偵察を行い、SSH 鍵の永続化と Python マルウェアの展開を試みました。GreyNoise は、観測されたシステムでは必要なバイナリやディレクトリが存在しなかったため、これらの試みは失敗したと報告しています。
悪用活動は範囲や成功が限定的に見えるものの、攻撃者が攻撃チェーンを最適化する前に、影響を受ける可能性のあるシステムは推奨事項に従ってパッチ適用または堅牢化を行うべきです。
