Telnet 流量骤降 83% — CVE 公开前 6 天发生了什么?
- 2026 年 1 月 14 日,全球 Telnet 会话在一小时内减少了 65%
- GNU Inetutils telnetd 漏洞 (CVE-2026-24061) 在 6 天后公开
- 目前 Telnet 流量约为之前的 1/3
1 小时内消失的 5 万个 Telnet 会话
2026 年 1 月 14 日 21 时 (UTC),全球 Telnet 会话从约 7.4 万个骤降至 2.2 万个。2 小时后,与基准相比下降了 83%[GreyNoise Labs]。18 个主要 ASN 完全沉默,津巴布韦等 5 个国家/地区的 Telnet 数据消失。
6 天后暴露的 Root Shell 夺取漏洞
1 月 20 日,CVE-2026-24061 公开。GNU Inetutils telnetd 在处理 USER 环境变量时存在参数注入缺陷[NVD]。如果用户名发送 -f root,则可以在未经身份验证的情况下获得 root shell。1 月 26 日,CISA 将其添加到 KEV 目录中,联邦机构必须在 2 月 16 日之前采取措施[CISA]。
骨干运营商的先发制人阻止假设
漏洞公开前 6 天流量骤降的原因很有趣。GreyNoise 研究人员提出,Tier 1 骨干运营商可能在收到事先通知后应用了端口 23 过滤[GreyNoise Labs]。云运营商的影响较小。AWS 流量增长了 78%,Contabo 增长了 90%。只有住宅 ISP 受到重大打击。
目前每周 Telnet 会话为 32 万个,与 12 月初的 108 万个相比减少了 70%。Telnet 的退出加速了。建议使用 GNU Inetutils 2.7-2 补丁或禁用 Telnet。
常见问题 (FAQ)
Q: CVE-2026-24061 是如何工作的?
A: GNU Inetutils telnetd 在处理 USER 环境变量时存在参数注入缺陷。如果攻击者在用户名中发送 -f root,则可以绕过身份验证并获得 root shell。这是一个严重的漏洞,无需单独的身份验证即可远程控制服务器。
Q: 应该使用什么代替 Telnet?
A: SSH (Secure Shell) 是标准的替代品。它加密所有通信并支持基于密钥的身份验证。Telnet 以明文传输,因此长期以来不建议使用。此事件表明仍有许多系统正在运行 Telnet。
Q: 这对普通用户有影响吗?
A: 大多数情况下没有直接影响。Telnet 主要用于服务器管理和网络设备配置。但是,旧的 IoT 设备或工业设备可能依赖 Telnet,因此管理员应考虑修补或协议转换。
如果这篇文章对您有帮助,请订阅 AI Digester。
参考资料
- The Day the Telnet Died – GreyNoise Labs (2026-02-10)
- CVE-2026-24061 – NVD (2026-01-20)
- Known Exploited Vulnerabilities Catalog – CISA (2026-01-26)