重大なTelnetサーバーの欠陥が、忘れ去られた攻撃対象領域を露呈

出典：Dzmitry Skazau via Alamy Stock Photo

脅威アクターが、数十万台のtelnetサーバーに影響する重大な脆弱性を悪用しており、しばしば見過ごされがちな脅威ベクターが再び注目を集めている。

ある月曜日、米国サイバーセキュリティ・インフラストラクチャ安全保障庁（CISA）は、GNU InetUtilsのtelnetdサーバーにおける重大な認証バイパスの欠陥を、既知の悪用済み脆弱性（KEV）カタログに追加した。この欠陥はCVE-2026-24061として追跡されており、オープンソースプログラムに10年以上にわたり残存していた。悪用されると、攻撃者がデバイスを完全に制御できる可能性がある。

「現代的な脆弱性に飽きていて、bugtraqの古き良き時代を覚えているなら、これは気に入るはずだ」と、セキュリティ研究者のSimon Josefssonは1月20日付の開示でSecList.orgに書いた。

Josefssonによると、この脆弱性は2015年5月、InetUtils 1.9.3で導入された。InetUtilsは、リモートアクセス用のtelnetプログラムを含む一般的なネットワークユーティリティの集合である。CVE-2026-24061はInetUtils 2.8で対処されたものの、この欠陥は悪用が容易で、攻撃者はすでにこれに飛びついている。

「GNU Inetutils Telnetdは、USER環境変数に“-f root”という値を与えることで、リモートから認証をバイパスできる」と、サイバーセキュリティ・ベルギー（CCB）は先週の勧告で記し、直ちにパッチを適用するよう利用者に促した。「これは単純な引数インジェクションの脆弱性で、攻撃者が認証制御を回避できるようになる。」

さらに懸念されるのは、世界中で露出しているtelnetサーバーの数が驚くほど多いことだ。Shadowserver Foundationからメールで送られた勧告によれば、「世界的に約80万のtelnetインスタンスが露出している――当然ながら、露出しているべきではない」と、Shadowserver FoundationのCEOであるPiotr Kijewskiは勧告に記し、同財団には露出しているインスタンスで当該脆弱性を安全に確認する手段がないと付け加えた。

リスクにさらされるIoTデバイス

Telnetは、セキュリティが欠如しているため現在ではあまり使われなくなった旧式のネットワークプロトコルと見なされており、暗号化なしでクライアントとサーバー間のデータを平文で送信する。しかし、レガシーシステムやモノのインターネット（IoT）機器では依然として使用されている。

「Telnetは公開されるべきではないが、特にレガシーなIoTデバイスではしばしば公開されている」とKijewskiは書いた。

露出したtelnetインスタンスに伴う既知のリスクに加え、プロトコル自体の非安全性は言うまでもないが、Forescout Technologiesは昨年、「2025年の最もリスクの高い接続デバイス」と題したレポートで、同社が「懸念すべき傾向」と呼ぶ状況を示した。

「暗号化されている［Secure Shellプロトコル、すなわちSSH］の利用は全業界で減少した一方、暗号化されていないTelnetの利用は全業界で増加した」と、ForescoutのVedere Labsはレポートに記した。「Telnet利用の増加が最も大きかったのは政府ネットワークで、デバイスの2%から10%へと増加しており、組み込みオペレーティングシステムの増加と相関している。」

統計は、脅威アクターがtelnet関連の脆弱性や、一般に非安全なIoTデバイスに注ぐ関心を踏まえると、さらに憂慮すべきものとなる。Forescoutのリサーチ担当バイスプレジデントであるDaniel dos SantosはDark Readingに対し、依然としてこのプロトコルを使用している最も一般的なデバイスは、プリンター、ネットワーク機器、VoIPデバイスであり、さらにビル自動化コントローラーやプログラマブル・ロジック・コントローラーといった運用技術（OT）も含まれると語った。

同氏は、脆弱なInetUtilsのtelnetdコンポーネントが多くのデバイスで使用されている可能性が高いと警告する一方、どの製品が脆弱かを組織が追跡するのは難しいかもしれないと述べた。「ネットワークを見直すセキュリティチームは、ベンダーがtelnetサーバーの修正を含むパッチを発行するのを待たなければならない。こうした種類のサプライチェーン脆弱性に関する過去の経験から、これには何年もかかり得る」とdos Santosは述べ、放置されたTCP/IP脆弱性に関するForescoutの「Project Memoria」の調査を引き合いに出した。

Telnetを引退させる時？

Mediumの投稿で、ペネトレーションテスターのShivam Bathlaは、telnetが古代のプロトコルであるにもかかわらず、ペンテスト業務の中でシステムや車両において露出したtelnetポートを複数回目にしており、これはこのプロトコルが「過去の遺物ではなく、今日の脅威環境に非常に関連している」ことを示していると書いた。

「そして言っておくが、この脆弱性を悪用するのがどれほど簡単かには度肝を抜かれた」とBathlaは書いた。

dos Santosによれば、Forescoutが監視する接続デバイスのうち、いまだに4%がtelnetを使用している。小さな数字に見えるかもしれないが、相当な攻撃対象領域を形成している。

「ひどい慣行ではあるが、インターネット上でtelnetサーバーを露出させたデバイスが数十万台ある」と同氏は言う。「当社データによれば、Telnetは昨年、攻撃されたプロトコルの10番目だった。攻撃の大半は総当たりに依存している。というのも、telnetサーバーにおける認証バイパスやリモートコード実行の脆弱性はそれほど一般的ではないからだ。」

修正済みのInetUtilsバージョンへアップグレードすればCVE-2026-24061の脅威は軽減されるが、Josefssonは組織に対してシンプルな助言を提示した。「telnetdサーバーをそもそも動かさないことだ」と、同氏は開示文で書いた。

それができない場合、telnetポートへのネットワークアクセスを信頼できるクライアントのみに制限することを推奨した。暫定的な回避策として、利用者はtelnetdサーバーを無効化するか、「-f」パラメータの使用を許可しないカスタムログインツールを強制できる。

dos Santosは、インターネット上でTelnetサーバーを露出させたデバイスやシステムが存在しないことを必ず確認するよう組織に促した。さらに、高リスクのデバイスはネットワークの他の部分からセグメント化すべきだ。