GNU InetUtilsのtelnetdサービスにおける重大な認証バイパス脆弱性が、2026年1月20日に概念実証(PoC)エクスプロイトが公開されたのを受け、脅威アクターによって積極的に悪用されています。
この欠陥により、攻撃者はtelnetネゴシエーション中にUSER環境変数を操作することで、脆弱なシステムに不正なrootアクセスを取得できます。
GNU InetUtils telnetdにおけるリモート認証バイパスとして追跡されているこのセキュリティ上の欠陥は、バージョン1.9.3から2.7に影響し、高深刻度に分類されています。
この脆弱性は不適切な入力サニタイズに起因しており、telnetdサーバーがUSER環境変数を検証せずにそのままloginバイナリへ渡してしまいます。
これは、loginユーティリティが -f フラグを認証チェックをスキップするためのコマンドとして解釈するために発生します。
このバグは2015年3月19日のコミットで導入され、2015年5月12日にリリースされたバージョン1.9.3に含まれていました。
セキュリティ研究者のKyu Neushwaistein(Carlos Cortes Alvarez)が2026年1月19日にこの脆弱性を発見して報告し、GNUメンテナーのSimon Josefssonが直ちにセキュリティ勧告を発出しました。
公開から18時間以内に、脅威インテリジェンス企業GreyNoise Labsは、インターネット上の脆弱なtelnetサービスを標的としたアクティブな悪用試行を検知しました。
ハニーポットセンサーから取得したネットワークトラフィックの分析により、18個のユニークな攻撃元IPアドレスが60件の異なる悪用試行を行っていたことが明らかになりました。
最も活発な攻撃者(178.16.53.82)は、10台のユニークなシステムを標的に12回の別々の悪用セッションを実行し、9600ボーの端末速度とXTERM-256COLORの端末タイプという一貫したペイロード構成を使用していました。
このパターンは、手動のキーボード操作による攻撃ではなく、自動化された悪用ツールキットの使用を示唆しています。
観測された攻撃はすべて、初期接続のハンドシェイク中に悪意ある行為者がUSER環境変数を注入する標準的なtelnetネゴシエーション手順に従っていました。
このエクスプロイトは、認証バイパスのペイロードを埋め込むために、telnetのIAC(Interpret As Command)プロトコル機能を悪用します。
攻撃ペイロードは脅威アクターごとに異なり、端末速度の設定は0ボー(ネゴシエーションなし)から38,400ボーまで幅がありました。
端末タイプの宣言には、大文字の「XTERM-256COLOR」、小文字の「xterm-256color」、GNU Screenマルチプレクサ利用者向けの「screen-256color」、および汎用の「UNKNOWN」タイプが含まれていました。
攻撃者の83%がrootアカウントを直接標的にした一方で、一部の高度なアクターは「nobody」「daemon」などの代替アカウント、さらには「nonexistent123」のような架空のユーザー名まで試しており、rootアクセス試行を監視する検知システムを回避しようとする試みが示唆されます。
悪用に成功した後、攻撃者は侵害したシステムをフィンガープリントするための偵察コマンドを実行しました。
ある攻撃者(216.106.186.24)は、rootアカウントのauthorized_keysファイルにSSH公開鍵を注入することで永続化を試みました。
RSA 3072ビット鍵は「[email protected]」由来であり、攻撃活動にレンタルVPSインフラを使用していることを示しています。しかし、この永続化の試みは、標的システムに .ssh ディレクトリが存在しなかったため失敗しました。
同じ脅威アクターは、curlで http://67.220.95.16:8000/apps.py からPythonスクリプトをダウンロードし、nohupでバックグラウンド実行することで、マルウェアの展開も試みました。
この第2段階ペイロードは、ボットネットのクライアントソフトウェアまたは暗号通貨マイニングマルウェアである可能性が高いものの、ハニーポット標的にcurlとPythonのインストールがなかったため、展開は失敗しました。
脆弱性の深刻度は高いものの、セキュリティ企業Censysによる初期の偵察では、脆弱なGNU InetUtilsバージョンを実行している可能性のある露出したtelnetサービスは約3,000件であることが示されました。
この比較的小さな攻撃対象領域に加え、現代のインフラにおけるtelnetサービス利用の減少により、この脆弱性の全体的な影響は限定的となっています。
標的環境にcurlやPython、適切に構成されたSSHディレクトリなどの基本ユーティリティが欠けていたため、侵害後の多くのコマンドは失敗しました。
セキュリティ監視チームは、特に「-f」フラグやその他のコマンドライン引数を含むUSER環境変数など、不審なtelnet認証パターンに対する検知ルールを実装すべきです。
翻訳元: https://cyberpress.org/telnetd-vulnerability-actively-exploited/