はじめに
インターネットセキュリティ監視団体Shadowserverは、GNU InetUtils telnetdサーバーに存在する致命的な認証バイパス脆弱性(CVE-2026-24061)により、世界中で約80万台ものTelnetサーバーがリモート攻撃に晒されていると警告しました。この脆弱性は既に悪用された攻撃が確認されており、早急な対策が求められています。
脆弱性の詳細
この脆弱性(CVE-2026-24061)は、GNU InetUtilsのバージョン1.9.3(2015年リリース)から2.7までのtelnetdサーバーに影響を与えます。オープンソースコントリビューターのSimon Josefsson氏が報告したこの問題は、クライアントがUSER環境変数に「-f root」という特定の文字列を細工して送信することで、通常の認証プロセスをバイパスし、サーバーにroot権限で自動ログインできるというものです。
この脆弱性は、バージョン2.8(1月20日リリース)で既にパッチが適用されています。
広がる脅威の規模
Shadowserverは、Telnetのフィンガープリントを持つ約80万のIPアドレスを世界中で追跡しています。地域別では、アジアが38万以上、南米が約17万、ヨーロッパが10万強のサーバーが確認されています。しかし、これらのデバイスのうち、どれだけがCVE-2026-24061に対するセキュリティ対策を講じているかは不明です。
Shadowserver FoundationのCEOであるPiotr Kijewski氏は、「Telnetは公開されるべきではないが、特にレガシーなIoTデバイスでは頻繁に公開されている」と述べ、この問題の根深さを指摘しています。GNU InetUtilsは、多くのLinuxディストリビューションで使用されており、10年以上にわたって更新されずに稼働しているレガシーシステムや組み込みデバイスに搭載されていることが多いため、広範囲に影響が及んでいます。
既に確認された攻撃
CVE-2026-24061が公開されてからわずか数日後の1月21日には、サイバーセキュリティ企業GreyNoiseが、この脆弱性を悪用する限定的な攻撃を既に検出したと報告しました。攻撃は18の異なるIPアドレスから60のTelnetセッションで行われ、TelnetのIACオプションネゴシエーションを悪用して「USER=-f <user>」を注入し、認証なしで侵害されたデバイスのシェルアクセスを獲得していました。
攻撃の83.3%で「root」ユーザーが標的となっており、自動化された攻撃が主でしたが、「人間が操作する」ケースも確認されています。初期アクセス後、攻撃者はPythonマルウェアの展開も試みましたが、これは必要なディレクトリやバイナリの欠如により失敗に終わっています。
管理者への推奨事項
この脅威からシステムを保護するために、管理者には以下の対策が強く推奨されます。
- Telnetサービスを直ちにパッチ適用済みのバージョン2.8にアップグレードしてください。
- 直ちにアップグレードできない場合は、脆弱なtelnetdサービスを無効にするか、すべてのファイアウォールでTCPポート23をブロックすることで、インターネットからのアクセスを遮断してください。