近80万Telnet服务器暴露在外 远程攻击风险高企

近80万台Telnet服务器面临远程攻击风险

互联网安全监测组织Shadowserver Foundation发现近80万个IP地址暴露了Telnet服务，使其面临远程攻击的风险。这一持续威胁利用了GNU InetUtils telnetd服务器中的严重身份验证绕过漏洞，该服务器是广泛使用的Telnet协议实现之一。

漏洞技术细节

该漏洞被追踪为CVE-2024-XXXX（具体CVE编号待确认），允许未经身份验证的攻击者绕过易受攻击的Telnet守护进程（telnetd）中的身份验证机制。Telnet是一种用于远程命令行访问的遗留网络协议，其传输的数据（包括凭据）均为明文，极易被拦截和利用。

Shadowserver的扫描发现，79.6万个独立IP地址响应了Telnet指纹识别，表明存在活跃暴露。虽然并非所有实例都运行GNU InetUtils telnetd，但暴露服务的庞大数量仍引发了对潜在攻击面的严重担忧。

影响与风险

• 未授权访问：攻击者可能远程控制易受攻击的系统，导致数据泄露、横向移动或恶意软件部署。
• 凭据窃取：Telnet明文传输凭据增加了中间人（MitM）攻击的风险。
• 僵尸网络招募：暴露的Telnet服务器是IoT僵尸网络（如Mirai变种）的主要目标，这些僵尸网络利用弱密码或默认凭据进行传播。

安全团队建议措施

1. 禁用Telnet：使用**SSH（Secure Shell）**替代Telnet，SSH加密所有通信并支持更强的身份验证方法。
2. 网络分段：将Telnet服务隔离在防火墙或VPN后，限制其仅对可信网络开放。
3. 补丁管理：一旦GNU InetUtils telnetd的修复程序发布，立即应用更新（关注CVE-2024-XXXX的最新动态）。
4. 监测攻击行为：部署**入侵检测系统（IDS）**以发现异常的Telnet流量或身份验证尝试。
5. 审计暴露服务：使用Shodan或Shadowserver报告等工具识别并修复暴露的Telnet实例。

安全专家呼吁优先采取缓解措施，因暴露的Telnet服务持续对企业和IoT环境构成系统性风险。