モデムやダイヤルアップとともに太古の遺物として影に退いたかに見えたtelnetだが、意外にも深刻な脆弱性の源として再浮上した。GNU InetUtils内で、巧妙に細工した環境変数を送信するだけで、リモートから未認証のままroot権限でアクセスできてしまう欠陥が発見された。
欠陥はGNU InetUtilsスイートのtelnetdサーバーコンポーネントに存在する。ここでは、クライアントから受け取ったUSER変数を、いかなる検証も行わずにloginユーティリティへ渡している。この見落としは、クライアントが-f rootという文字列をユーザー名として送信し、telnet -aまたは--loginで接続した場合に悪用可能となる。その結果、loginプログラムはこの文字列を機能フラグとして解釈し、通常の認証手続きを回避して即座に管理者アクセスを付与してしまう。
CVE-2026-24061として指定され、CVSSスコア9.8のクリティカル評価を受けたこの脆弱性は、GNU InetUtilsのバージョン1.9.3から2.7までのすべての版を危険にさらす。この欠陥は2015年5月以来、約11年にわたりコードベース内に潜み続け、つい最近になってようやく明るみに出た。root権限を持つシステムユーティリティへ、フィルタされていない危険な文字列がそのまま中継されるという、「オールドスクール」な脆弱性構造の典型例である。
セキュリティアドバイザリの著者らは、telnetdの完全な放棄を明確に推奨しており、telnetポートへのアクセスは信頼できるクライアントのみに制限し、可能な限り迅速にパッチを適用すべきだとしている。一時的な緩和策としては、telnetdを完全に無効化するか、-fパラメータを認識しない特注版のloginを使用する方法が挙げられる。
この問題は研究者Carlos Cortes Alvarezによって発見され、修正は2026年1月にGNU InetUtils開発チームによって洗練された。修正内容は、loginコマンドの構築時に使用されるすべての変数を厳格にサニタイズし、この種の侵入を構造的に不可能にするというものだ。この事件は象徴的である。時代遅れのプロトコル、忘れ去られたサービス、そして古典的な論理的誤りが重なり、システム全体の完全な侵害へと至った。「古代」の技術であっても、本番環境で稼働し続けている限り、現実的な脅威となり得ることを痛烈に思い起こさせる。
公表直後、研究者らは配備して、能動的な悪用試行を監視するためのハニーポットセンサーを設置した。攻撃者側の反応は即座で、18時間以内に18のユニークIPアドレスから60件の侵害試行が記録された。Censysプラットフォームのデータによれば、世界で約3,000台のシステムが潜在的に脆弱なまま残っている可能性があるが、その多くはおとりの罠である可能性も高い。
傍受したトラフィックの分析からは、多様なアクターの存在が浮かび上がる。最もしつこい敵対者は178.16.53.82から活動し、10の異なる標的に対して12セッションを実施した。手口は完全に自動化されており、アクセスを確保するとuname -a、id、/proc/cpuinfoの確認といった定型の偵察コマンド群を実行した。特徴的なのは、コマンド出力を自動解析のための固有マーカーで囲っていた点で、ボットネットまたは体系的なデータ収集エンジンの関与を示唆している。
216.106.186.24からのより高度な敵対者は、特定のサブネットワークに狙いを定め、SSH鍵によって永続的な足場を確立しようとしたほか、リモートサーバーからPythonスクリプトを実行しようと試みた。おそらく暗号資産マイナーかボットネットのペイロードだろう。しかし、標的システムに.sshディレクトリが存在せず、curlやpythonもなかったため、いずれの試みも失敗に終わった。
特に興味深かったのは、167.172.111.135と165.22.30.48からの2者である。彼らは同業者と異なり、直ちにrootアクセスを追求せず、代わりにnobody、daemon、さらには存在しないユーザーアカウントまで試すなど実験的だった。セッション間の時間的な間隔や行動の論理から、自動スクリプトではなく人間のオペレーターであることが示唆される。これらはおそらく、侵入検知システム(IDS)を意識し、高度な権限昇格手法を持つ、より熟練したハッカーだろう。
一部の敵対者は、驚くほど運用セキュリティ(OPSEC)が甘かった。ある人物は、エクスプロイトと悪性ペイロードの配布に同一のIPアドレスを使用していた。別の者はDISPLAY変数を通じてホスト名をうっかり漏らし、MiniBearという名のシステムを露呈させたり、フル機能のKali Linux環境から直接接続したりしていた。
総じて、攻撃者の技術力は比較的控えめに見えた。18の攻撃元のうち、プロフェッショナルの特徴を示したのはごく一部に過ぎない。大半は粗雑な自動化ツールに頼るか、ほとんど工夫のないままウェブ上の手順に従っていた。Suricata IDSはroot取得の瞬間を検知することに成功し、多層防御と厳格なトラフィック監視の必要性を改めて裏付けた。この脆弱性は、志望ハッカーにとっての訓練場となる一方で、セキュリティ専門家に現代の敵対的戦術とツールに関する貴重なデータも提供した。
翻訳元: https://meterpreter.org/root-via-telnet-ancient-protocol-exposes-critical-9-8-flaw-in-2026/
