CVE-2026-24061：GNU InetUtils telnetd における 10 年以上前から存在する脆弱性がリモートからの root アクセスを可能に

新たな一日、新たな課題がサイバー防御担当者を待ち受けています。Cisco のユニファイド・コミュニケーション管理製品における深刻なゼロデイ脆弱性（CVE-2026-20045）が公開された直後、セキュリティ研究者は 11 年間見過ごされてきた新たな脆弱性を発見しました。GNU InetUtils の telnet デーモン（telnetd）に影響する重大な認証バイパスの問題（CVE-2026-24061）により、リモート攻撃者は影響を受けるシステム上で root 権限へと特権昇格が可能になります。

特に、脅威インテリジェンス企業 GreyNoise の研究者は、観測によると、過去 1 日間で 20 以上のユニーク IP が CVE-2026-24061 を悪用した認証バイパス攻撃を試みたことを確認しています。

SOC Prime Platform に登録して、検知からシミュレーションまでを網羅的にサポートする包括的な製品スイートに支えられた、世界最大級のリアルタイム検知インテリジェンスコレクションにアクセスしてください。 検出を探索 をクリックすると、カスタム CVE タグで事前フィルタリングされた、脆弱性悪用検知向けの広範なルールセットを確認できます。

検出を探索

すべてのルールは 40 以上の SIEM、EDR、データレイクプラットフォームと互換性があり、MITRE ATT&CK® フレームワーク v18.1 にマッピングされています。さらに、各ルールには CTI リファレンス、攻撃フロー、監査設定など、豊富なメタデータが付属しています。

セキュリティ担当者は、Uncoder AI を活用することで、検知エンジニアリングの取り組みを効率化できます。生の脅威レポートから振る舞いベースのルールを生成し、検知ロジックを検証し、Attack Flow を可視化し、IOC をハンティングクエリへ変換、さらには複数言語間で検知コードを即座に変換することが、すべて一か所で可能です。

CVE-2026-24061 の分析

新たに公開された GNU InetUtils telnetd における単純な引数インジェクション脆弱性により、脅威アクターは USER 環境変数に「-f root」という値を指定することで認証を回避できます。その結果、未認証のリモート攻撃者が影響を受ける telnetd サービスを実行しているインスタンスへアクセスし、root 権限へ特権昇格する可能性があります。攻撃が成功した場合、機密データへのアクセス、システム設定の変更、任意コマンドの実行が可能となり、最終的にはシステム全体の完全な侵害につながる恐れがあります。

セキュリティアドバイザリによると、この問題は telnetd サービスが通常 root 権限で実行される /usr/bin/login を呼び出し、クライアントから提供された USER 環境変数を適切なサニタイズなしに引数として渡していることに起因します。攻撃者が「-f root」という値を指定し、telnet の -a または --login オプションを使用すると、login は通常の認証チェックをスキップし、自動的に root ログインが実行されます。

この脆弱性は 2015 年 3 月にコミットされたソースコード変更によって導入され、GNU InetUtils バージョン 1.9.3 で初めて確認されました。11 年以上検出されないまま放置されていたこの欠陥は、バージョン 1.9.3 から 2.7 まで（両端を含む）のすべての GNU InetUtils リリースに影響します。

現在も telnetd を使用しているユーザーは、できるだけ早くアップグレードを適用する必要があります。リスクを軽減するため、セキュリティ専門家は telnet ポートへのアクセスを信頼できるクライアントのみに制限することを推奨しています。一時的な対策として、telnetd サーバーを完全に無効化する、または -f パラメータをブロックするカスタム login ユーティリティを使用する設定を行い、不正な root ログインを防止することも可能です。

さらに、新たに出現する脅威に常に先手を打つため、脅威検知およびハンティング向けの最先端技術を SOC チームに提供する SOC Prime の AI ネイティブ検知インテリジェンスプラットフォーム を活用してください。