脅威インテリジェンス企業 GreyNoise によると、通信事業者は 1 月の重大な Telnet 脆弱性について、公開前に事前警告を受けていた可能性が高いという。
グローバルな Telnet トラフィックは 1 月 14 日に「崖から落ちるように」急減した。これは CVE-2026-24061 のセキュリティアドバイザリが 1 月 20 日に公開された 6 日前のことである。この脆弱性は GNU InetUtils telnetd に存在する 10 年前のバグで、CVSS スコアは 9.8 であり、簡単に root アクセスを悪用できる。
GreyNoise のデータによると、Telnet セッションは 1 月 14 日に 1 時間以内に 65 パーセント減少し、その後 2 時間以内に 83 パーセント減少した。1 日あたりのセッション数は平均 914,000(12 月 1 日~1 月 14 日)から約 373,000 に低下し、59 パーセントの減少となっており、この傾向は今日でも続いている。
「このような段階関数的な変化(単一時間のウィンドウ内で伝播)は、スキャン集団の行動的漂流ではなく、ルーティングインフラストラクチャの設定変更として読み取ることができる」と、GreyNoise の Bob Rudis と「Orbie」は最近のブログで述べている。
研究者の検証されていない理論は、インフラストラクチャオペレーターが、アドバイザリが大衆に公開される前にroot 権限を与える脆弱性に関する情報を受け取った可能性があるというものである。
「バックボーン事業者またはトランジット事業者は、おそらく協調的な要求に応じるか、または独自の評価に基づいて行動し、トランジットリンク上のポート 23 フィルタリングを実装した。フィルタリングは 1 月 14 日に稼働し、公開開示は 1 月 20 日に続いた」
証拠となるデータについて言えば、BT、Cox Communications、Vultr を含む 18 の事業者は、1 月 15 日までに数十万の Telnet セッションからゼロに減少した。
大手クラウドプロバイダーはこのドロップオフによってほぼ影響を受けず、AWS などのケースでは 78 パーセント増加している。
「クラウドプロバイダーは主要な IXP で広範なプライベートピアリングを行っており、従来のトランジットバックボーンパスをバイパスしている。一般向けおよびエンタープライズ ISP は通常そうではない」と研究者は述べた。
これらすべては、北米の 1 つ以上の Tier 1 トランジット事業者がポート 23 フィルタリングを実装したことを示唆している。米国の一般向け ISP Telnet トラフィックは米国のメンテナンスウィンドウ時間内に減少し、大西洋横断またはアジア太平洋横断のバックボーンルートに依存するトラフィックでも同じことが発生した。その間、ヨーロッパのピアリングはほぼ影響を受けなかったと彼らは付け加えた。
GreyNoise は相関が因果関係に等しくないことを認めながらも、専門家は事前アドバイザリ通知がトラフィックドロップオフとアドバイザリリリース間のタイミング、特定のポート 23 フィルタリング、およびフィルタが今日も有効であるという事実を説明できると述べた。
「これを証明することはできない。バックボーンドロップは完全に偶然である可能性がある。ISP は長年にわたってレガシーな安全でないプロトコルのフィルタリングに向けてゆっくりと移行しており(WannaCry)、1 月 14 日は単に誰かの変更管理チケットがようやく実行されたときだった可能性がある。
「しかし、Tier 1 バックボーンがポート 23 フィルタリングのように見えるものを実装し、その 6 日後に簡単に悪用可能な root アクセス telnet 脆弱性の開示が続き、その 4 日後にCISA KEV リストが続くという組み合わせは、文書化し検討する価値がある。」
The Register は、GreyNoise がそのレポートで言及した通信事業者の一部にこの理論について意見を求めました。返答があれば、この記事を更新します。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2026/02/11/were_telcos_tipped_off_to/
