本文翻译自 Telnet Falls Silent，原载于 GreyNoise Labs。

很久很久以前
我依然记得那个协议
曾让我微笑
我知道如果有机会
我可以让那些僵尸网络起舞
也许它们会快乐一阵子
但一月让我颤抖
每一包我试图传递的数据
骨干网上的坏消息
我无法扫描任何 ASN
我不记得是否哭过
当我的 -f root 撞上 ACL 规则
但有什么东西触动了我内心深处
就在 telnet 死去的那一天

引言

2026年1月14日，大约21:00 UTC，互联网基础设施发生了某种变化。GreyNoise 全球观测网格记录到全球 Telnet 流量突然且持续的崩塌——这不是渐进式下降，不是扫描器的自然衰减，也不是数据管道问题，而是一个阶跃函数。一个小时约 74,000 个会话，下一个小时只剩约 22,000 个。到再下一个小时，我们降到了约 11,000 个，而这个底线一直保持稳定。

六天后，1月20日，CVE-2026-24061 的安全公告发布到了 oss-security 邮件列表。1月26日，CISA 将其添加到 KEV（已知已利用漏洞）目录中。

我们在1月22日写过关于漏洞披露后前18小时的利用活动。这篇文章要讲的是另一件事：CVE 披露之前全球 Telnet 流量的结构性变化，以及为什么我们认为这两个事件可能并非毫无关联。

骤降

从2025年12月1日到2026年1月14日，GreyNoise 观测到平均每天约 914,000 个不可伪造的 Telnet 会话，总计 5,120 万个会话——我们称之为”基线”。

1月14日 21:00 UTC，小时流量在一个时间刻度内下降了 65%。两小时内，已降至低于基线的 83%。新的平均值稳定在每天约 373,000 个会话——59% 的持续下降，这个降幅一直持续到撰写本文时（2月10日）。

这不是逐渐减少。拐点附近的小时数据说明了一切：

这种阶跃函数——在单小时内传播——读起来更像是路由基础设施的配置变更，而不是扫描群体的行为漂移。

谁沉默了

18个在下降前具有显著 Telnet 流量（每个超过 5 万会话）的 ASN 在1月15日后归零。一些突出的名字：

• Vultr (AS20473) — 下降前 38.2 万会话，然后消失
• Cox Communications (AS22773) — 15 万会话，消失
• Charter/Spectrum (AS20115) — 14.1 万会话，消失
• BT/英国电信 (AS2856) — 12.7 万会话，消失

五个整国从 GreyNoise Telnet 数据中消失：津巴布韦、乌克兰、加拿大、波兰和埃及。不是减少——是归零。

与此同时，主要云服务商基本未受影响，甚至有所增长。AWS 增长了 78%。Contabo 增长了 90%。DigitalOcean 基本持平，+3%。云服务商在主要 IXP 拥有广泛的私有对等互联，可以绕过传统的传输骨干网路径。住宅和企业 ISP 通常没有。

过滤器在哪里？

这种模式指向一家或多家北美一级传输提供商实施了 23 端口过滤：

时间——21:00 UTC，即 16:00 EST——与美国维护窗口一致。美国住宅 ISP（Cox、Charter、Comcast 下降 74%）遭受重创，而同一大陆上的云服务商通过绕过任何变更的对等互联安然无恙。Verizon/UUNET (AS701) 下降了 79%，作为主要的一级骨干，这与其要么是过滤实体，要么直接位于过滤实体的上游一致。AS701 上剩余的 21% 流量代表不经过过滤链路的路径。

依赖跨大西洋或跨太平洋骨干网路由访问美国托管基础设施的国家受到最严重影响。拥有强大欧洲直接对等的国家（法国 +18%，德国 -1%）基本未受影响。

中国骨干网提供商（中国电信和中国联通）均下降了约 59%，表现一致。这种一致性表明过滤器位于跨太平洋链路的美国一侧，而不是在中国内部。如果这是中国防火墙行动，我们预计中国运营商之间的影响会不对称，并且会有更硬性的切断。

然后来了 CVE

CVE-2026-24061 是 GNU Inetutils telnetd 中的一个严重（CVSS 9.8）身份验证绕过漏洞。该缺陷是 telnetd 在 Telnet 选项协商期间处理 USER 环境变量时的参数注入。攻击者发送 -f root 作为用户名值，login(1) 乖乖跳过身份验证，交出 root shell。无需凭据。无需用户交互。易受攻击的代码是在 2015 年的一次提交中引入的，在近 11 年中未被发现。

时间线：

Telnet 下降与公开 CVE 披露之间的六天间隔是值得注意的部分。表面上看，下降不可能由 CVE 披露引起，因为下降先发生。但”由…引起”并不是唯一值得考虑的关系。

推测

负责任的披露时间线不是从发布开始的。发现此漏洞的研究人员（归功为 Kyu Neushwaistein / Carlos Cortes Alvarez）根据公开来源在1月19日报告了该缺陷。但导致补丁准备就绪、公告起草以及 CISA 准备在发布后六天内将内容添加到 KEV 的协调工作通常早于披露前一天开始。

我们认为可能发生的情况是：关于一个影响 Telnet 守护进程的易于利用、未经身份验证的 root 访问漏洞的提前通知，传达给了能够在基础设施级别采取行动的各方。一家骨干网或传输提供商——可能响应协调请求，可能根据自己的评估——在传输链路上实施了 23 端口过滤。过滤于1月14日生效。公开披露于1月20日跟进。

这可以解释：

• 时间差距（提前通知 → 基础设施响应 → 公开披露）
• 过滤的特异性（23/TCP 端口，而不是一般路由变更）
• 影响拓扑（依赖传输的路径受影响，直接对等路径不受影响）
• 持续性质（过滤器数周后仍在运行）

我们无法证明这一点。骨干网下降可能完全是巧合——ISP 多年来一直在缓慢转向过滤传统不安全协议（参考：Wannacry），而1月14日可能只是某人的变更控制工单终于被执行。相关性、时间接近性和合理的机制绝对不等于因果关系。

但是，一级骨干网实施看起来像 23 端口过滤的操作，六天后披露一个易于利用的 root 访问 Telnet 漏洞，四天后 CISA KEV 列出，这个组合值得记录和考虑。

下降后的世界

1月14日后的 Telnet 格局显示出反复的锯齿模式——周期性峰值随后的低谷（例如，1月28日 80.6 万会话，然后1月30日 19.1 万）。这可能表明间歇性过滤应用、围绕过滤基础设施的路由抖动，或恰好使用不受过滤影响路径的扫描器活动。

周平均值说明了持续情况：

我们现在运行在下降前基线的大约三分之一，趋势仍然略有下降。

实际影响

如果你在任何地方运行 GNU Inetutils telnetd——考虑到 11 年的时间窗口，仍有大量嵌入式系统、网络设备和传统 Linux 安装可能存在它——打补丁到 2.7-2 或更高版本，或完全禁用该服务。联邦机构的 CISA KEV 修复期限是 2026年2月16日。如前所述，GreyNoise 在披露后数小时内观察到利用尝试，活动在2月初达到每天约 2,600 个会话的峰值，然后逐渐减少。

如果你是网络运营商，尚未在边界过滤 23 端口，我们在此记录的骨干级过滤表明，无论如何行业都在朝着这个方向发展。互联网传输基础设施的重要部分的上游某人显然决定 Telnet 流量不再值得承载。这可能是正确的决定。

如果你了解任何这方面的信息（或者是实施它的勇敢灵魂），请发邮件至 research@greynoise.io。

关键要点

1. 全球 Telnet 流量在1月14日骤降 59%：这不是渐进式下降，而是在单小时内发生的阶跃变化
2. 影响具有明显的地域特征：北美住宅 ISP 受到重创，而云服务商基本不受影响
3. 时间线值得玩味：流量下降发生在 CVE-2026-24061 披露前六天
4. CVE-2026-24061 是一个严重的身份验证绕过漏洞：攻击者可以通过发送 -f root 作为用户名获得 root shell
5. 可能存在提前通知机制：基础设施过滤可能在 CVE 公开披露前已作为预防措施实施
6. Telnet 应被弃用：如果你仍在运行 telnetd，请尽快打补丁或完全禁用该服务

“The day the telnet died” — 致敬 Don McLean 的 “American Pie”，同时标志着一个古老协议的黄昏。