CVE-2026-24061(GNU Inetutils telnetdに存在する重大なリモートコード実行脆弱性)に対する概念実証(PoC)エクスプロイトが出回っており、セキュリティ研究者は、脆弱なインスタンスが80万件以上インターネット上で公開されたままであると警告している。
この脆弱性により、認証されていない攻撃者が、telnetdサービスの脆弱なバージョンを実行している影響下のシステム上で任意のコマンドを実行できる。
脆弱性の概要
CVE-2026-24061はGNU InetUtils telnetdに影響する。これは、ネットワーク越しに暗号化されていない端末アクセスを提供するレガシーなリモートログインサービスである。
この脆弱性はtelnetデーモンにおける不適切な入力検証に起因し、攻撃者が認証メカニズムを回避して、標的システム上で任意のコマンドを実行できるようになる。
動作するPoCコードの公開により、最小限の技術的知識しか持たない脅威アクターでも、いまや容易に悪用できる状況となっている。
Shadowserver FoundationのAccessible Telnet Reportは、この問題の規模を明らかにしている。
Regarding CVE-2026-24061 in GNU InetUtils telnetd: while we are not scanning for it explicitly (due to current lack of ability to check in a safe way, we share – and have for years – data on exposed instances in our Accessible Telnet Report: https://t.co/2JR0hChy5Z
~800K exposed pic.twitter.com/cPLGvOtnZK
— The Shadowserver Foundation (@Shadowserver) January 26, 2026
インターネット全体で、ポート23/TCP上に約80万件のtelnetインスタンスが露出したままであり、大規模な一斉悪用キャンペーンにとって魅力的な攻撃対象領域となっている。
これらの統計は、根強い現実を浮き彫りにしている。すなわち、十分に文書化されたセキュリティリスクがあるにもかかわらず、レガシーサービスが本番環境で稼働し続けているということだ。
Telnetはログイン資格情報を含むすべてのデータを平文で送信するため、侵害されたシステムは資格情報の収集や横展開に直ちに価値を持つ。
CVE-2026-24061のようなRCE脆弱性と組み合わさると、露出したtelnetサービスは重要インフラへの攻撃ベクターとなる。
組織は直ちに、ネットワーク境界においてポート23/TCPおよび代替ポート(2323、2222)で公開されているTelnetサービスがないか監査すべきである。
Shadowserverのダッシュボードは、国別・セクター別・ASN別に、アクセス可能なtelnetインスタンスのリアルタイム統計を提供している。
優先すべき是正措置は、telnetdを完全に無効化し、SSHへ移行するか、信頼できる内部ネットワークのみにtelnetアクセスを制限する厳格なファイアウォールルールを実装することである。
ネットワーク防御担当者は、telnet露出をMEDIUM、侵害が確認された場合をCRITICALとするShadowserverの深刻度分類を参照できる。
同財団はまた、CVE-2024-40891の影響を受けるZyxelのCPEデバイスや、7777ボットネットに侵害されたシステムについても、同等の緊急度で警告している。
セキュリティチームは、この脆弱性を狙ったエクスプロイト活動に関する脅威インテリジェンスフィードを監視すべきである。
80万件超のインスタンスがアクセス可能で、PoCも広く入手できる状況を踏まえると、大規模なスキャンおよび悪用キャンペーンが発生する可能性は極めて高い。
レガシーなtelnetインフラを運用している組織は、差し迫った侵害リスクに直面しており、それに応じて是正を最優先すべきである。
翻訳元: https://gbhackers.com/poc-released-for-gnu-inetutils-telnetd-rce/
