【安全资讯】近80万台Telnet服务器暴露于远程攻击风险

概要：

近日，一个存在于GNU InetUtils组件中的高危认证绕过漏洞（CVE-2026-24061）正被黑客利用，导致全球近80万台暴露在互联网上的Telnet服务器面临被远程控制的严重风险。Telnet作为一种古老的远程管理协议，因其不加密的特性早已被SSH等更安全的协议取代，但大量遗留的物联网（IoT）和嵌入式设备仍在使用，使其成为网络攻击的薄弱环节。

主要内容：

该漏洞存在于GNU InetUtils 1.9.3至2.7版本的telnetd服务器中。攻击者可以通过发送一个精心构造的“USER”环境变量值（例如“-f root”），并配合telnet客户端的特定参数，即可绕过所有身份验证流程，直接以root权限登录目标服务器。这意味着攻击者无需任何密码即可获得设备的最高控制权。

根据互联网安全监测机构Shadowserver的数据，目前全球仍有近80万个IP地址暴露了Telnet服务指纹，其中亚洲地区超过38万个，南美洲近17万个，欧洲超过10万个。这些设备多数是长期未更新的老旧物联网设备，为攻击提供了庞大的目标池。

网络安全公司GreyNoise在漏洞披露后数日内，已监测到来自18个IP地址的有限攻击活动。攻击者利用Telnet IAC选项协商机制注入恶意命令，在83.3%的案例中试图获取root权限。尽管部分攻击是自动化的，但也观察到了“人工操作”的迹象。攻击者在获得访问权限后，曾尝试部署Python恶意软件进行进一步侦察，但因目标设备缺少必要目录和二进制文件而失败。

专家强烈建议管理员立即将设备升级至已修复的GNU InetUtils 2.8版本。若无法立即升级，应禁用易受攻击的telnetd服务，或在所有防火墙上屏蔽TCP 23端口，以阻断攻击路径。