近期,Dream Security披露了一项影响范围较大的Telnetd服务安全漏洞。该漏洞源于Telnet进程在LINEMODE SLC(Set Local Characters)选项协商阶段的实现缺陷,攻击者可通过构造特制数据包触发缓冲区溢出,进而在无需认证的情况下实现远程代码执行。漏洞位于Telnet守护进程的编码逻辑中,发生在初始连接握手阶段,攻击全程不需要任何合法凭证,对企业网络安全构成直接威胁。 从技术层面看,问题的关键在于Telnetd未对传入的LINEMODE子选项数据长度进行有效校验,导致堆栈溢出。攻击者一旦利用成功,可执行任意指令,甚至获取系统最高权限。该漏洞由Dream Security团队于2026年3月11日提交至GNU Inetutils开发组,官方已确认问题并着手准备补丁,预计于2026年4月1日发布。虽然目前尚未发现漏洞被公开恶意利用的证据,但其利用门槛较低,对仍在使用Telnet环境风险突出。 此漏洞影响的场景尤其值得关注。尽管多数现代网络已用更安全的SSH替代Telnet,但在工业控制系统(ICS)、运营技术(OT)环境以及部分政府机构中,Telnet仍在使用。不少老旧PLC与SCADA系统依赖Telnet进行远程管理,受制于改造成本和业务连续性要求,许多组织难以在短期内完成替换,因而长期暴露在风险之下。更重要的是,Telnetd服务常以root权限运行,这意味着一旦被攻破,攻击者可能完全接管主机,植入后门、窃取敏感数据,或将其作为跳板更攻击制造生产线、电力与供水等关键基础设施,后果严重。 针对上述风险,专家建议采用多层防护:安全团队应优先关闭Telnetd服务;如因业务原因无法停用,应在边界防火墙阻断23端口对外访问,仅允许受信任主机连接,并尽可能以非root权限运行Telnetd以降低危害。由于该攻击发生在认证前,传统认证日志往往难以记录利用行为,建议在防火墙与入侵检测系统(IDS)中增加对23端口新建连接及异常LINEMODE负载(超过90字节)的监测与告警规则,同时将涉及的日志集中转发至安全信息事件管理系统(SIEM),降低事后取证信息被清理的风险。 展望未来,此次Telnet漏洞再次暴露出工业与关键基础设施数字化转型中的现实难题:遗留系统难以快速替换,但风险却会持续累积。加强遗留系统治理、制定可落地的升级路线、完善应急响应与补丁管理机制,将成为降低此类高危远程入侵风险的关键。有关部门和企业需要持续更新安全策略,在兼顾生产连续性的前提下,尽快压缩遗留协议带来的攻击面。
当数字化进程与老旧基础设施交织,这次Telnet漏洞事件无疑敲响了警钟。在万物互联的背景下,任何遗留协议都可能成为攻击入口。它不仅考验企业的风险取舍与治理能力,也提示行业需要更高效的协同漏洞处置机制。正如网络安全专家所强调的那样,关键基础设施防护没有“权宜之计”,只有持续演进,才能建立更稳固的安全底座。