Attacken beobachtet: Uralte Telnetd-Lücke gefährdet Hunderttausende Systeme
In der vergangenen Woche ist eine Sicherheitslücke im Telnet-Daemon Telnetd (von Inetutils(öffnet im neuen Fenster) ) bekanntgeworden, die es Angreifern ermöglicht, sich aus der Ferne einen Root-Zugriff zu verschaffen. Die Shadowserver Foundation hat nun in einem Mastodon-Beitrag(öffnet im neuen Fenster) Zahlen vorgelegt, die veranschaulichen, wie verbreitet Telnet heute noch ist. Weltweit sind demnach rund 800.000 Systeme über das veraltete Protokoll erreichbar – und das direkt aus dem Internet.
Idealerweise sollte das Telnet-Protokoll gar nicht mehr verwendet werden. Es ermöglicht einen Fernzugriff über den TCP-Port 23, ist aber im Gegensatz zum heute deutlich weiter verbreiteten SSH nicht verschlüsselt. Einen Telnet-Server online erreichbar zu machen, ist daher in der Regel keine gute Idee. Teilweise nutzen Admins Telnet aber noch, um beispielsweise Probleme mit SSH-Verbindungen zu umgehen(öffnet im neuen Fenster) .
Nach Angaben der Shadowserver Foundation ist Telnet aber gerade bei älteren IoT-Geräten noch recht verbreitet. Vor allem in China und Brasilien gibt es jeweils über 100.000 online erreichbare Telnet-Server. Danach folgen im Ländervergleich(öffnet im neuen Fenster) die USA (50.000), Japan (41.000), Mexico (30.000), Indien (28.000) und Russland (25.000). Deutschland kommt mit rund 5.000 Telnet-Servern vergleichsweise gut weg.
Sehr leicht ausnutzbar
Wie viele der weltweit 800.000 Telnet-Server(öffnet im neuen Fenster) tatsächlich für die eingangs genannte Sicherheitslücke anfällig sind, ist unklar. Die Shadowserver Foundation fand nach eigenen Angaben bisher keine Möglichkeit, das "auf sichere Weise" zu erfassen. Die Zahlen zeigen aber, dass die Angriffsfläche nicht zu unterschätzen ist – zumal die Lücke in Telnetd schon seit mehr als zehn Jahren existiert.
Die Sicherheitslücke ist inzwischen als CVE-2026-24061(öffnet im neuen Fenster) registriert und verfügt über einen kritischen Schweregrad (CVSS: 9,8). Angreifer müssen beim Verbindungsaufbau nur die Zeichenkette "-f root" als Parameter der User-Umgebungsvariable übergeben und erhalten daraufhin Root-Zugriff. Sicherheitsforscher von Safebreach beschreiben die Lücke in einer technischen Analyse(öffnet im neuen Fenster) als "äußerst gefährlich und leicht ausnutzbar" .
Angriffe laufen bereits
Cybersicherheitsexperten von Greynoise haben schon Ende letzter Woche erste Angriffsversuche von 18 verschiedenen Quell-IP-Adressen festgestellt(öffnet im neuen Fenster) , bei denen CVE-2026-24061 ausgenutzt wurde. Da die Angriffskomplexität ohnehin gering ist und die Safebreach-Forscher auf Github(öffnet im neuen Fenster) auch schon ein Python-Skript mit einem Beispiel-Exploit veröffentlicht haben, verwundert dies kaum.
Die Angreifer versuchen laut Greynoise, mit dem über Telnet erlangten Root-Zugriff Malware einzuschleusen und sich einen SSH-Zugang einzurichten, so dass sie auch nach der Abschaltung des Telnet-Daemons weiterhin auf infiltrierte Systeme zugreifen können. Administratoren sollten ihre Telnet-Dienste also besser zügig vom Netz nehmen oder zumindest den veröffentlichten Patch einspielen, der laut Safebreach mit der Version 2.7-2 verteilt wird.