Телекоммуникационные компании, вероятно, получили заблаговременное предупреждение о критической уязвимости Telnet в январе еще до ее публичного раскрытия, согласно данным компании GreyNoise, специализирующейся на анализе угроз.
Глобальный трафик Telnet «резко упал» 14 января, за шесть дней до того, как 20 января были опубликованы рекомендации по безопасности для CVE-2026-24061. Эта уязвимость, обнаруженная в GNU InetUtils telnetd и имеющая оценку CVSS 9.8, позволяет легко получить root-доступ.
Данные GreyNoise показывают, что количество сессий Telnet сократилось на 65 процентов в течение одного часа 14 января, а затем на 83 процента в течение двух часов. Ежедневное количество сессий упало со среднего значения 914 000 (с 1 декабря по 14 января) примерно до 373 000, что составляет снижение на 59 процентов, которое сохраняется и по сей день.
«Такое резкое изменение, распространившееся в течение одного часа, указывает на изменение конфигурации в сетевой инфраструктуре, а не на поведенческие колебания в сканирующих сетях», — заявили Боб Рудис и «Орби» из GreyNoise в недавнем блоге.
Исследователи выдвинули непроверенную теорию о том, что операторы инфраструктуры могли получить информацию об уязвимости «make-me-root» до того, как рекомендации стали доступны широкой публике.
«Магистральный или транзитный провайдер — возможно, в ответ на скоординированный запрос, возможно, действуя на основе собственной оценки — реализовал фильтрацию порта 23 на транзитных каналах. Фильтрация была активирована 14 января. Публичное раскрытие последовало 20 января».
В качестве подтверждающих доказательств: 18 операторов, включая BT, Cox Communications и Vultr, сократили количество сессий Telnet с сотен тысяч до нуля к 15 января.
Крупные облачные провайдеры в основном не пострадали от этого спада, а в некоторых случаях, как AWS, трафик даже увеличился на 78 процентов.
«Облачные провайдеры имеют обширные частные пиринговые соединения на крупных IXP, которые обходят традиционные магистральные пути. Жилые и корпоративные интернет-провайдеры обычно этого не делают», — отметили исследователи.
Все это указывает на то, что один или несколько магистральных провайдеров уровня 1 в Северной Америке реализовали фильтрацию порта 23. Трафик Telnet у американских операторов жилого доступа упал в часы рабочего времени в США, и то же самое произошло у тех, кто полагался на трансатлантические или транстихоокеанские магистральные маршруты, в то время как европейский пиринг остался относительно незатронутым, добавили они.
Хотя GreyNoise признает, что корреляция не равна причинно-следственной связи, их эксперты считают, что предварительное уведомление может объяснить совпадение между падением трафика и выпуском рекомендаций, специфическую фильтрацию порта 23 и тот факт, что фильтр действует до сих пор.
«Мы не можем этого доказать. Падение трафика на магистралях может быть чисто случайным — интернет-провайдеры годами медленно двигались к фильтрации устаревших небезопасных протоколов (Wannacry), и 14 января мог просто быть днем, когда наконец-то был выполнен чей-то запрос на изменение. Но сочетание реализации на магистрали уровня 1 того, что выглядит как фильтрация порта 23, за которым через шесть дней последовало раскрытие уязвимости Telnet с легко эксплуатируемым root-доступом, а еще через четыре дня — включение в список CISA KEV, заслуживает документирования и рассмотрения».
The Register обратился к нескольким телекоммуникационным компаниям, упомянутым GreyNoise в своем отчете, для получения их комментариев по поводу этой теории, и мы обновим эту статью, если получим ответ. ®
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Connor Jones
