- 重大なTelnetの欠陥(CVE-2026-24061)により、世界で80万台のデバイスが露出
- 攻撃者は認証を回避してroot権限を取得し、Pythonマルウェアの展開を試みる
- パッチは公開済み。ユーザーにはTelnetの無効化、またはポート23のブロックが推奨
古いリモートアクセスツールであるTelnetに重大なセキュリティ脆弱性が見つかり、すでにかなり大規模に悪用されていると専門家が警告しています。
Shadowserverの研究者は述べ、Telnetのフィンガープリントを持つIPアドレスがほぼ80万件確認されたとして、攻撃対象領域が非常に大きいことを示唆しました。
Telnetは、ユーザーがデバイスにリモートでログインできる古いネットワークプロトコルです。時代遅れで安全ではないため、もはやインターネットに公開されるべきではありませんが、依然として数十万台のデバイスが公開されたままです。特に古いLinuxシステム、ルーター、IoTデバイスで多く見られます。
パッチと回避策
悪用されている認証回避の脆弱性はCVE-2026-24061として追跡されており、深刻度スコアは9.8/10(クリティカル)と評価されています。影響を受けるのはGNU InetUtilsの1.9.3(2015年にリリース、11年前)から2.7までで、今月初めにバージョン2.8で修正されました。
Shadowserverのデータを引用し、BleepingComputerは、Telnetのフィンガープリントを持つデバイスの大半がアジア(38万台)にあり、次いで南米が17万台、欧州が約10万台だと指摘しました。これらのデバイスのうち、どれだけがこの脆弱性に対して保護されているかは不明ですが、すべてが対策済みではないと考えるのが妥当でしょう。
Shadowserver Foundationは報告書の中で、「世界的に約80万のTelnetインスタンスが公開されています――当然、公開されるべきではありません。[..] Telnetは公に公開されるべきではありませんが、特にレガシーなIoTデバイスではしばしば公開されています」と述べています。
修正は1月20日に公開され、1日もしないうちに脅威アクターが脆弱なエンドポイントの探索を開始したと、セキュリティ研究者のGreyNoiseは述べています。当初、少なくとも18のIPアドレスが60回のTelnetセッションを行い、認証なしで侵害されたデバイスへのアクセスを獲得しました。大半のケース(83%)で攻撃者は「root」権限を取得し、それを使ってPythonマルウェアの展開を試みました。ただし、試行の多くは失敗しています。
すぐにパッチを適用できない場合は、telnetdサービスを無効化するか、すべてのファイアウォールでTCPポート23をブロックしてください。
