Hampir 800.000 server Telnet di seluruh dunia terpantau masih terekspos ke internet dan berpotensi menjadi sasaran serangan jarak jauh. Temuan ini muncul di tengah maraknya eksploitasi celah keamanan kritis pada layanan telnetd milik GNU InetUtils, yang memungkinkan penyerang melewati proses autentikasi dan langsung memperoleh akses root.
Kerentanan tersebut terdaftar sebagai CVE-2026-24061 dan memengaruhi GNU InetUtils versi 1.9.3 hingga 2.7, rentang versi yang telah beredar sejak 2015. Perbaikan resmi baru tersedia pada rilis versi 2.8 yang diluncurkan pada 20 Januari 2026. Celah ini disebabkan oleh cara telnetd meneruskan variabel lingkungan USER yang dikirim klien ke proses login sistem tanpa proses sanitasi yang memadai.
Dengan memanfaatkan nilai USER yang dirancang khusus dan mengirimkannya melalui opsi login tertentu, penyerang dapat melewati autentikasi sepenuhnya dan langsung masuk sebagai root. Proses eksploitasi ini tergolong sederhana dan tidak memerlukan kredensial valid maupun interaksi pengguna tambahan di sisi server.
Lembaga pemantau keamanan internet melaporkan bahwa mereka saat ini melacak hampir 800.000 alamat IP dengan fingerprint Telnet aktif. Dari jumlah tersebut, lebih dari 380.000 berada di kawasan Asia, sekitar 170.000 di Amerika Selatan, dan lebih dari 100.000 di Eropa. Hingga kini belum ada data pasti berapa banyak dari server tersebut yang telah diamankan dari eksploitasi CVE-2026-24061.
Paparan Telnet dalam skala besar ini sebagian besar disebabkan oleh keberadaan sistem lama dan perangkat tertanam yang jarang diperbarui. GNU InetUtils sendiri merupakan kumpulan utilitas jaringan klasik yang masih digunakan luas di berbagai distribusi Linux. Pada perangkat legacy dan IoT, layanan seperti Telnet kerap dibiarkan aktif selama bertahun-tahun tanpa pembaruan, menjadikannya target empuk bagi penyerang.
Aktivitas eksploitasi terhadap celah ini telah terdeteksi hanya sehari setelah patch dirilis. Serangan yang diamati memanfaatkan mekanisme negosiasi opsi Telnet untuk menyuntikkan parameter berbahaya, sehingga pelaku dapat memperoleh akses shell tanpa autentikasi. Sebagian besar serangan menargetkan akun root dan dilakukan secara otomatis, meskipun terdapat indikasi keterlibatan operator manusia pada beberapa kasus.
Setelah berhasil masuk, pelaku mencoba melakukan pengintaian sistem dan menyebarkan malware berbasis Python untuk mempertahankan akses. Namun, pada sejumlah sistem yang terpantau, upaya tersebut gagal karena keterbatasan lingkungan target, seperti tidak tersedianya direktori atau binary yang dibutuhkan.
Para pakar keamanan menegaskan bahwa Telnet seharusnya tidak pernah diekspos ke internet publik. Protokol ini sudah lama dianggap tidak aman dan telah digantikan oleh alternatif yang lebih modern. Namun, kenyataannya Telnet masih banyak ditemukan, terutama pada perangkat IoT dan sistem industri lama yang sulit dimodernisasi.
Bagi administrator yang belum dapat segera memperbarui GNU InetUtils ke versi aman, langkah mitigasi sementara yang direkomendasikan adalah menonaktifkan layanan telnetd sepenuhnya atau memblokir akses ke port TCP 23 melalui firewall. Tanpa langkah pengamanan tersebut, sistem berisiko tinggi menjadi korban kompromi, terutama di tengah meningkatnya pemindaian dan eksploitasi otomatis di internet.