ハッカーは、レガシーなクライアント・サーバー型アプリケーションプロトコルのあるバージョンに認証回避の脆弱性があることを突き止め、サーバー上で開放されたTelnetポートを探し回っている。野放しの環境で80万台以上のサーバーが実際に標的にされる可能性がある。
特に運用技術(OT)環境に対するリスクは深刻だ。欠陥を抱えている可能性のあるレガシー機器や組み込み機器が広く存在するためである。さらに、Telnetはこうした機器で既定で有効になっていることが多かったため、レガシーおよびシャドーIoT(Internet of Things)機器もリスク要因となる。
Inversion6のCISOであるIan Thornton-Trump氏は、「OTシステム上で永続性を狙う国家支援型の脅威アクターにとって、これはまさに“絶対的な贈り物”だ」と述べた。
この欠陥はCVE-2026-24061として追跡されており、広く利用されているtelnetdサーバーソフトウェアを保守する開発者らによるセキュリティアラートとパッチにより、1月20日に公に明らかになった。ある開発者が、攻撃者がこれを悪用してシステムへのroot権限レベルのアクセスを得られる重大な欠陥があると警告した。telnetdソフトウェアはInetUtilsの一部で、Unix系OSであるGNU向けの無償ネットワークユーティリティ集であり、多くのLinuxディストリビューションに組み込まれている。
攻撃者が特別に細工したユーザー変数、具体的には文字列-f rootをユーザー環境変数としてサーバーに送ると、「通常の認証プロセスを回避してクライアントが自動的にrootとしてログインされる」と、開発者のSimon Josefsson氏が述べた。
InetUtilsチームは、この欠陥の悪用を防ぐtelnetdバージョン2.8をリリースし、単体のパッチも公開した。
2015年5月にリリースされた1.9.3以降のtelnetdのすべての旧バージョンが脆弱である。欠陥とその深刻度を踏まえ、InetUtilsチームは組織に対し「telnetdサーバーはそもそも稼働させない」ことを推奨し、そうできない場合はファイアウォールで「Telnetポートへのネットワークアクセスを信頼できるクライアントに制限」し、「パッチを適用するか、パッチを取り込んだ新しいリリースへアップグレードする」よう勧告した(可能になり次第)。
回避策として、telnetdを無効化するか、ユーザーが「'-f'パラメータの使用を許可しないカスタムのlogin(1)ツールをInetUtils telnetdに使わせる」ことができるとした。
セキュリティ専門家は、組織に対し、欠陥を抱えるすべてのデバイス(シャドーIoTを含む)について直ちにインフラを監査し、速やかに是正するよう促している。
Thornton-Trump氏はInformation Security Media Groupに対し、「これはサイバー脅威研究者の間で懸念されてきた『サイバー真珠湾』シナリオの舞台をまさに整えるものだ。私の考えでは、これは10年に一度級の脆弱性であり、最優先で対処すべきだ」と語った。
同氏は、リスクは「メーカーのサポートがないレガシー技術を大量に抱えている可能性がある発展途上国で特に深刻だ」と述べた。
広く利用されるソフトウェア
米国のサイバーセキュリティ・インフラセキュリティ庁(CISA)は月曜日、この欠陥を既知の悪用済み脆弱性のカタログに追加し、連邦政府の民間機関に対して2月16日までにパッチ適用または緩和策の実施を求める期限を設定した。
パッチ適用競争を複雑にしているのは、telnetdの修正は「実装できるようになる前に、各ディストリビューションのパッケージに取り込まれなければならない」点だと、カナダ・サイバーセキュリティセンターが警告した。
「それまでは、パッチはコード(telnetd/utility.c)に手を加えたうえで、独立してコンパイルすることでしか適用できない」と同センターは述べた。グローバル・テクノロジー・インダストリー・アソシエーション(GTIA)が月曜日に出したセキュリティアラートによれば、この脆弱性によりリスクが高まりやすい分野には製造業のほか、物流および海運業が含まれる。理由の一つは、配備後に更新されないLinuxのバージョンを動かす組み込みシステムが広く使われているためだという。
同協会は、世界中の通信事業者が使用するレガシーなネットワーク機器に加え、遠隔トラブルシューティング目的でTelnetが組み込まれている可能性のある中小規模組織向けデバイスを、高リスクとして挙げた。
同組織は、管理者の知らないところで脆弱なGNU InetUtilsのバージョンを実行している可能性があるネットワーク上の「レガシー」または「シャドー」IoTデバイスを特定するため、組織が自組織ネットワークを能動的にスキャンすることを推奨した。
複数のDebianおよびUbuntuのリリースが、脆弱なソフトウェアに含まれるようだとみられている。
マルウェア、ボットネット、詐欺と戦う非営利のセキュリティ組織であるShadowserver Foundationは、「安全な方法で確認する能力が欠けている」ため、CVE-2026-24061の欠陥を持つGNU InetUtils telnetdのインスタンスを「明示的に」スキャンすることはできないと述べた。
しかし同団体は、約80万件のTelnetインスタンスが依然としてインターネットに露出しており、その大半はアジアと南米にあるとした。国別では、中国で約13万件、ブラジルで11万9千件の露出エンドポイントを数え、続いて米国が5万件、日本が4万1千件、メキシコが3万件、インドが2万7千件だった。
専門家は、レガシーなプロトコルであるTelnetはユーザー名とパスワードを平文で送信するため、決して使用しないよう助言している。どうしても使用する必要がある場合、管理者は完全にロックダウンし、決してインターネットに露出させないようにすべきだ。
サリー大学のコンピュータサイエンス客員教授でサイバー犯罪の専門家であるAlan Woodward氏は、ソーシャルプラットフォームXへの投稿で、「これは、レガシーなシステム/プロトコルでも脆弱性が見つかり得ることの良い例だ。動かしていないことを確認してほしい」と述べた。
エクスプロイト試行が急増
InetUtilsがtelnetdのセキュリティ情報を公開してから24時間も経たないうちに、サイバーセキュリティ企業GreyNoiseは、同社のハニーポットが機会的なものと標的型の両方のエクスプロイト試行の記録を開始したと述べた。
GreyNoiseは、telnetセッションを通じた直接的な悪用の試行、ボットネットのC2(コマンド&コントロール)ソフトウェアや暗号資産マイナーを配布している可能性が高い少なくとも1台のマルウェア配布サーバー、さらに「デュアルユースのインフラ」(正当な目的と悪意ある目的の双方に使われ得るレッドチーミング等のツールを指す)を確認したと報告した。同社は、たとえtelnetシェルが終了させられても、成功した試行は攻撃者に永続的なリモートアクセスを与え得ると警告した。
多くの場合、攻撃者はデバイスへのアクセスを得た後、Pythonベースのマルウェアを放とうとしているように見える。「これは“手間ゼロ”のエクスプロイトで、即座にrootアクセスを付与するため、ボットネット運用者や国家支援型アクターにとって非常に魅力的だ」とGTIAは述べた。
CVE-2026-24601の兆候を探すよう設定されたあるハニーポットは60分未満で侵害されたと、Inversion6のインシデント対応ディレクターであるTyler Hudak氏がLinkedInへの投稿で述べた。「攻撃者はrootとしてログインし、直ちにコマンドを実行し、バックドアをインストールし、さらに多くの標的を探すスキャンを開始した」と同氏は語った。
「この脆弱性のリスクモデルを行う組織は、オンプレミス機器だけでなく、それ以上の範囲を見直す必要があるかもしれない。これはLinuxサーバーだけの問題ではない。IOTデバイスも影響を受ける。」
「あなたの組織は安全かもしれないが、従業員が自宅で使っているデバイスはどうだろうか?」とHudak氏は述べた。
この欠陥のエクスプロイトは親ロシア系のハッキングフォーラムで議論の対象になっており、「利用可能なサーバーを探すスキャンの増加は確実に予想できる」と、サイバーセキュリティ企業DynaRiskの脅威インテリジェンス責任者であるMilivoj Rajić氏は述べた。
同氏によれば、これらの議論の一部は「攻撃を実行するための端末コマンド」に焦点を当てているが、さらに「熟練していない人でも攻撃を実行できるようにする」より自動化されたツールの開発についても詳述しているという。
翻訳元: https://www.databreachtoday.com/telnet-flaw-800000-servers-at-risk-amid-active-attacks-a-30604
