インターネットセキュリティ監視団体のShadowserverは、GNU InetUtilsのtelnetdサーバーに存在する重大な認証バイパス脆弱性を悪用する攻撃が継続する中、Telnetのフィンガープリントを持つ約80万件のIPアドレスを追跡しています。
このセキュリティ上の欠陥(CVE-2026-24061)は、GNU InetUtilsのバージョン1.9.3(2015年にリリース、11年前)から2.7までに影響し、1月20日にリリースされたバージョン2.8で修正されました。
「telnetdサーバーは、(通常rootとして実行される)/usr/bin/loginを呼び出し、クライアントから受け取ったUSER環境変数の値を最後のパラメータとして渡します」と、報告者であるオープンソース貢献者のSimon Josefssonは説明しました。
「クライアントが、文字列“-f root”となるように細工したUSER環境変数の値を供給し、さらにtelnet(1)の-aまたは–loginパラメータを指定してこのUSER環境変数をサーバーへ送信すると、通常の認証プロセスを回避してクライアントは自動的にrootとしてログインされます。」
本日、Shadowserverは、Telnetのフィンガープリントを持つ約80万件のIPアドレスを追跡していると述べました。内訳はアジアが38万件超、南米が約17万件、欧州が10万件強です。ただし、これらのデバイスのうちCVE-2026-24061攻撃に対してどれだけが保護されているかについての情報はありません。
「世界中で約80万のtelnetインスタンスが露出しています――当然、そうあるべきではありません。[…] Telnetは公開されるべきではありませんが、特にレガシーなIoTデバイスではしばしば公開されたままになっています」と、Shadowserver FoundationのCEOであるPiotr Kijewskiは述べました。
GNU InetUtilsは、複数のLinuxディストリビューションで使用されるネットワークユーティリティ(telnet/telnetd、ftp/ftpd、rsh/rshd、ping、tracerouteなど)を集めたもので、多くのレガシーおよび組み込みデバイスでは10年以上アップデートなしで動作し続けることがあります。これは、Kijewskiが指摘したように、IoTデバイスに存在する理由を説明しています。
木曜日、CVE-2026-24061の公開から数日後、サイバーセキュリティ企業GreyNoiseは、CVE-2026-24061のエクスプロイトが限定的な攻撃で既に使用されていることを検出したと報告しました。
悪意のある活動は1月21日(脆弱性が修正された翌日)に始まり、18個のIPアドレスから60件のTelnetセッションにわたって発生しました。TelnetのIACオプションネゴシエーションを悪用して「USER=-f <user>」を注入し、認証なしで侵害されたデバイスへのシェルアクセスを攻撃者に付与していました。
これらの攻撃は端末速度やX11 DISPLAYの値がさまざまでしたが、83.3%のケースで「root」ユーザーを標的としていました。また、その大半は自動化されているように見える一方で、GreyNoiseは「人がキーボードを操作している」ケースもいくつか観測したとしています。
アクセスを得た後、攻撃者は自動化された偵察に続いてPythonマルウェアの展開も試みましたが、必要なディレクトリやバイナリが存在しないため失敗しました。
修正済みリリースへ直ちにアップグレードできない管理者には、脆弱なtelnetdサービスを無効化するか、すべてのファイアウォールでTCPポート23をブロックすることが推奨されます。
