儘管Telnet協議已被視為過時且極不安全，但全球仍有數十萬台遺留系統與物聯網（IoT）設備依賴它進行遠端存取。美國網路安全暨基礎設施安全局（CISA）於本月將GNU InetUtils telnetd伺服器的嚴重認證繞過漏洞CVE-2026-24061列入「已知被利用漏洞」（Known Exploited Vulnerabilities，KEV）目錄，警告此漏洞已遭積極攻擊，攻擊者可輕鬆獲得root權限，接管裝置。資安專家驚呼：「2026年還在用Telnet被Root，真的該退休了。」此事件凸顯台灣製造業、醫療與政府部門的IoT與OT設備安全隱憂，呼籲企業立即停用或封鎖Telnet服務。

 

漏洞細節由資安研究員Simon Josefsson於1月20日在SecList.org揭露。他幽默表示：「如果厭倦現代漏洞，想懷念Bugtraq時代的好日子，這就是你想要的。」CVE-2026-24061源自2015年5月InetUtils 1.9.3版本引入的程式碼錯誤，持續存在至2.7版，長達近11年未被發現。漏洞本質為簡單的引數注入（Argument Injection，CWE-88）：telnetd在呼叫系統login程序時，未適當過濾USER環境變數。若攻擊者透過Telnet客戶端設定USER=-f root（或類似構造），即可繞過正常認證，直接以root身分登入系統，無需密碼。

 

比利時網路安全中心（CCB）與加拿大網路安全中心迅速發布警報，強調這是「簡單的認證繞過」，攻擊門檻極低。GreyNoise威脅情報公司觀察到，漏洞披露後不到24小時，已有超過20個獨特IP發動攻擊嘗試；TXOne Networks偵測到三種不同酬載樣式，皆利用Telnet的NEW-ENVIRON選項注入惡意USER變數，成功後直接掉入root shell。SafeBreach Labs更在GitHub公開PoC腳本，進一步加速野外利用。

 

更令人擔憂的是暴露規模。Shadowserver Foundation追蹤全球約80萬台公開暴露的Telnet實例（TCP/23埠），其中許多運行GNU InetUtils telnetd。基金會執行長Piotr Kijewski直言：「這些不該公開暴露，尤其在遺留IoT裝置上。」雖然無法遠端安全驗證哪些實例受CVE-2026-24061影響，但暴露量龐大，意味著攻擊面極廣。BleepingComputer報導指出，Shodan掃描顯示仍有數十萬台裝置開啟Telnet，許多為舊版Linux嵌入式系統，多年未更新。

 

Forescout Technologies在2025年《最危險聯網裝置報告》中指出，儘管SSH（加密協議）使用率在各產業下降，但Telnet（明文傳輸）使用率卻全面上升，尤其政府網路從2%暴增至10%。製造業、醫療與政府部門擁有最多Telnet裝置，常見於印表機、網路設備、VoIP電話、樓宇自動化控制器與PLC等OT設備。Forescout研究副總裁Daniel dos Santos表示：「Telnet去年是第十大受攻擊協議，多數為暴力破解，但CVE-2026-24061讓攻擊變得更簡單。」他警告，供應鏈漏洞修補往往需數年，企業難以快速追蹤所有受影響產品。

 

 

對台灣影響尤為嚴重。台灣作為全球IoT與工業4.0重鎮，製造業、醫療器材與智慧城市部署大量遺留設備。許多工廠仍使用舊版嵌入式Linux系統，Telnet常用於遠端診斷與維護。若未封鎖公開埠或未更新，CVE-2026-24061可能導致生產線停擺、機密外洩，甚至成為勒索軟體跳板。政府單位與關鍵基礎設施（如能源、水利）亦面臨類似風險。資安專家呼籲，台灣企業應參考UN ECE或ISO/SAE 21434標準，強制汰換Telnet，改用SSH並啟用多因素驗證。

 

 

修補方案已出：GNU於1月20日發布InetUtils 2.8版修補漏洞，Debian等發行版快速推送更新。但dos Santos提醒：「許多裝置永遠不會收到更新。」Josefsson建議最根本解法：「根本不要跑telnetd伺服器。」替代方案包括：

 

 

penetration tester Shivam Bathla在Medium分享滲透測試經驗：「即使是2026年，我仍多次在系統與車輛發現暴露Telnet埠，漏洞利用之簡單令人震驚。」GreyNoise與INCIBE等機構確認攻擊已活躍，呼籲全球資安團隊掃描自家網路，移除不必要Telnet暴露。

 

 

此事件再度證明「遺留系統」仍是資安最大痛點。現代攻擊者不挑新舊，只要有暴露面，就能輕鬆入侵。企業若繼續忽視Telnet等古董協議，恐付出慘痛代價。資安從業人員一致呼籲：是時候徹底告別Telnet了。

 

 

出處： 基於Dark Reading文章《Critical Telnet Server Flaw Exposes Forgotten Attack Surface》，作者Rob Wright，發布日期2026年1月28日；並參考GNU官方公告、CISA KEV目錄、Shadowserver Foundation警報、GreyNoise Labs、TXOne Networks、Forescout《The Riskiest Devices of 2025》報告，以及NSFOCUS、Canadian Centre for Cyber Security等相關資安機構通報。