概要

GNU InetUtilsのtelnetd（Telnetデーモン）に、極めて深刻な認証バイパスの脆弱性（CVE-2026-24061）が発見されました。この脆弱性は約11年間も未検出のままであり、攻撃者がリモートからシステムへのログインをバイパスし、ルート権限を奪取する可能性があります。CVSSスコアは10.0点中9.8点と評価されており、早急な対応が求められます。

脆弱性の詳細

この脆弱性は、GNU InetUtilsのバージョン1.9.3から2.7までのすべてのバージョンに影響を及ぼします。脆弱性は2015年3月19日のソースコードコミットで導入され、同年5月12日のバージョン1.9.3リリースに含まれていました。セキュリティ研究者のKyu Neushwaistein氏（Carlos Cortes Alvarez氏）が2026年1月19日に発見し、報告しました。

脆弱性の悪用メカニズムは以下の通りです。

• telnetdサーバーは、クライアントから受信したUSER環境変数の値を最後のパラメータとして/usr/bin/login（通常はroot権限で実行）を呼び出します。
• もし攻撃者がUSER環境変数として「-f root」という値を慎重に作成し、telnet(1)の-aまたは--loginパラメータを使用してこのUSER環境変数をサーバーに送信すると、通常の認証プロセスをバイパスしてrootとして自動的にログインできてしまいます。
• これは、telnetdサーバーがUSER環境変数をlogin(1)に渡す前にサニタイズ処理を行わないことと、login(1)が-fパラメータを認証バイパスに使用することに起因します。

攻撃状況と推奨される対策

脅威インテリジェンス企業GreyNoiseのデータによると、すでに21のユニークなIPアドレスが過去24時間以内にこの脆弱性を悪用したリモート認証バイパス攻撃を試みていることが観測されています。これらのIPアドレスは香港、米国、日本、オランダ、中国、ドイツ、シンガポール、タイなどから発信されており、すべて悪意のあるものとしてフラグ付けされています。攻撃後には、システム偵察、SSHキーの永続化、マルウェアの展開などが試みられていると報告されています。

この脆弱性に対する推奨される対策は以下の通りです。

• 最新のパッチを適用してください。
• Telnetポートへのネットワークアクセスを信頼できるクライアントに制限してください。
• telnetdサーバーを無効にしてください。
• InetUtils telnetdが-fパラメータの使用を許可しないカスタムlogin(1)ツールを使用するように設定してください。

CISAによる警告

2026年1月26日、米サイバーセキュリティ・社会基盤安全保障庁（CISA）は、このCVE-2026-24061を既知の悪用されている脆弱性（Known Exploited Vulnerabilities: KEV）カタログに追加しました。これにより、連邦政府の民間執行機関（FCEB）は2026年2月16日までにパッチを適用することが義務付けられています。

元記事: https://thehackernews.com/2026/01/critical-gnu-inetutils-telnetd-flaw.html