はじめに
最近公開されたGNU InetUtils telnetdサーバーの深刻な脆弱性「CVE-2026-24061」が、攻撃者によって積極的に悪用されていることが確認されました。この脆弱性は過去11年間も存在しており、非常に簡単に悪用できるため、すでに複数のエクスプロイトコードが公開されています。
脆弱性の詳細
このセキュリティ上の問題は、1月20日に報告された「CVE-2026-24061」として追跡されています。オープンソース貢献者のSimon Josefsson氏によると、GNU InetUtilsのtelnetdコンポーネントには、/usr/bin/loginを起動する際の環境変数処理の不備に起因するリモート認証バイパス脆弱性が存在します。具体的には、telnetdがユーザー制御可能なUSER環境変数をサニタイズすることなく直接login(1)に渡してしまうため、攻撃者はUSERを-f rootに設定し、telnet -aコマンドで接続することで、認証プロセスをスキップし、システムへのルートアクセスを不正に取得することが可能となります。
この脆弱性は、2015年にリリースされたGNU InetUtilsバージョン1.9.3から2.7までのすべてのバージョンに影響を及ぼし、バージョン2.8で修正されました。
なぜTelnetが未だに使われているのか?
Telnetは安全性が低く、SSHにほぼ置き換えられたレガシーなプロトコルですが、多くのLinuxおよびUnixシステムでは、互換性や特定の用途のために依然として組み込まれています。特に、シンプルさと低いオーバーヘッドが理由で産業分野で広く利用されており、IoTデバイス、カメラ、産業用センサー、さらにはOT(Operational Technology)ネットワークでその存在が見られます。レガシーデバイスや組み込みデバイスでは、10年以上アップデートされないまま運用されているケースも珍しくありません。また、一部の技術ユーザーは「古いCiscoデバイスに接続するためにTelnetを使っている」と報告しています。
活発な悪用状況
脅威監視企業のGreyNoiseは、1月21日から22日にかけて、CVE-2026-24061を悪用する実際の攻撃活動を検出しました。この期間中、18の異なる攻撃元IPアドレスから60のTelnetセッションが観測され、これらすべてが悪意のある活動であると判断されています。攻撃者はTelnetのIACオプションネゴシエーションを悪用し、USER=-f <user>を注入することで、認証なしでシェルアクセスを確立していました。活動の大部分は自動化されたものでしたが、一部には人間による操作の形跡も見られました。
攻撃の83.3%は「root」ユーザーを標的としており、攻撃後の段階では、自動化された偵察活動、SSHキーの永続化、およびPythonマルウェアの展開が試みられていました。ただし、GreyNoiseの観測では、これらの試行は対象システムに不足しているバイナリやディレクトリが原因で失敗に終わったと報告されています。
現在のところ、悪用活動の範囲と成功は限定的ですが、攻撃者がその手法を最適化する前に、影響を受けるシステムは速やかにパッチを適用するか、強化することが強く推奨されます。
推奨される対策
この脆弱性に対する最も効果的な対策は、GNU InetUtilsをバージョン2.8にアップグレードすることです。アップグレードが困難な場合は、以下の緩和策を検討してください。
- Telnetdサービスを無効化する。
- すべてのファイアウォールでTCPポート23をブロックする。