Kritik Altyapı Güvenliği
Telnet Kusuru Kimliği Doğrulanmamış Kullanıcıların Kök Erişimi Kazanmasına İzin Verir
Mathew J. Schwartz (euroinfosec) •
27 Ocak 2026
Bilgisayar korsanları, eski istemci-sunucu uygulama protokolünün bir sürümünün kimlik doğrulamayı atlama güvenlik açığına karşı savunmasız olduğunu keşfettikten sonra sunuculardaki açık Telnet bağlantı noktalarını aramaya başladı. Vahşi doğada 800.000’den fazla sunucu aktif olarak hedeflenebilir.
Ayrıca bakınız: Geleneksel M365 Veri Koruması Artık Yeterli Değil
Kusurlu olabilecek eski ve gömülü ekipmanların yaygınlığı göz önüne alındığında, özellikle operasyonel teknoloji ortamlarının oluşturduğu risk oldukça ciddidir. Telnet genellikle bu donanımda varsayılan olarak etkinleştirildiğinden nesnelerin eski ve gölge interneti de risk teşkil etmektedir.
Inversion6’nın CISO’su Ian Thornton-Trump, kusurun “OT sistemlerinde kalıcılık arayan ulus devlet tehdit aktörleri için mutlak bir hediye” olduğunu söyledi.
CVE-2026-24061 olarak takip edilen kusur, yaygın olarak kullanılan telnetd sunucu yazılımının bakımını yapan programcıların verdiği güvenlik uyarısı ve yamalar sayesinde 20 Ocak’ta kamuoyuna açıklandı. Bir kodlayıcı, saldırganların sisteme kök düzeyinde erişim sağlamak için kullanabileceği kritik bir kusur olduğu konusunda uyardı. Telnetd yazılımı, Unix benzeri işletim sistemi GNU için birçok Linux dağıtımında yerleşik olarak bulunan ücretsiz bir ağ yardımcı programları seti olan InetUtils’in bir parçasıdır.
Saldırganlar özel hazırlanmış bir kullanıcı değişkeni (özellikle dize) gönderirse -f root – geliştirici Simon Josefsson, sunucuya bir kullanıcı ortamı değişkeni olarak “istemci, normal kimlik doğrulama süreçlerini atlayarak otomatik olarak root olarak oturum açacaktır” dedi.
InetUtils ekibi, kusurdan yararlanılmasını engelleyen ve ayrıca bağımsız yamalar yayınlayan telnetd 2.8 sürümünü yayımladı.
Telnetd’nin Mayıs 2015’te yayımlanan 1.9.3’ten önceki tüm sürümleri güvenlik açığına sahiptir. InetUtils ekibi, kusurun ve ciddiyetinin ışığında, kuruluşların “hiçbir telnetd sunucusu çalıştırmamasını” veya “Telnet bağlantı noktasına ağ erişimini güvenilir istemcilerle kısıtlamak” için bir güvenlik duvarı kullanmasını ve bu durum meydana geldiğinde “yamayı uygulamasını veya yamayı içeren daha yeni bir sürüme yükseltme yapmasını” önerdi.
Geçici bir çözüm olarak telnetd’nin devre dışı bırakılabileceğini veya kullanıcının “InetUtils telnetd’nin özel bir telnetd kullanmasını sağlayabileceğini” söylediler. login(1) kullanımına izin vermeyen araç '-f' parametre.”
Güvenlik uzmanları, kuruluşlara, gölge IoT de dahil olmak üzere kusura sahip tüm cihazlar için altyapılarını derhal denetlemeleri ve bunları derhal düzeltmeleri çağrısında bulundu.
Thornton-Trump, Information Security Media Group’a şöyle konuştu: “Bu, siber tehdit araştırmacılarının aklındaki ‘Cyber Pearl Harbor’ senaryosuna tam olarak zemin hazırlıyor. Bana göre bu, on yılda bir görülen bir güvenlik açığı türüdür ve en yüksek öncelikte ele alınmalıdır.”
Riskin özellikle “üreticiler tarafından desteklenmeyen büyük miktarda eski teknolojiye sahip olabilecek gelişmekte olan ülkelerde” ciddi olduğunu söyledi.
Yaygın Kullanımda Yazılım
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı Pazartesi günü kusuru bilinen güvenlik açıkları kataloğuna ekledi ve federal sivil kurumların kusuru düzeltmesi veya hafifletmesi için 16 Şubat’a kadar süre verdi.
Kanada Siber Güvenlik Merkezi, telnetd düzeltmelerinin “uygulanmadan önce çeşitli dağıtım paketlerine dahil edilmesi gerektiği” konusunda yama yarışını karmaşık hale getiren bir uyarıda bulundu.
“O zamana kadar yamalar yalnızca kodda (telnetd/utility.c’de) değişiklik yapılarak ve daha sonra bağımsız olarak derlenerek uygulanabilir” dedi. Küresel Teknoloji Endüstrisi Birliği’nin Pazartesi günü yayınladığı bir güvenlik uyarısında, bu güvenlik açığından dolayı yüksek risk altında olması muhtemel sektörler arasında üretimin yanı sıra lojistik ve denizcilik endüstrisinin de yer aldığı, bunun kısmen dağıtım sonrası güncellenmeyecek bir Linux sürümünü çalıştıran gömülü sistemlerin yaygın kullanımı nedeniyle olduğu belirtildi.
Dernek, dünya çapındaki telekomünikasyon sağlayıcıları tarafından kullanılan eski ağ donanımlarının yanı sıra, uzaktan sorun giderme amacıyla yerleşik Telnet’e sahip olabilecek küçük ve orta ölçekli kuruluşlara yönelik cihazları yüksek risk altında olarak işaretledi.
Kuruluş, kuruluşların, yöneticinin bilgisi olmadan GNU InetUtils’in savunmasız sürümlerini çalıştıran ağdaki “eski” veya “gölge” IoT cihazlarını belirlemek için kendi ağlarını aktif olarak taramasını önerdi.
Güvenlik açığı bulunan yazılımlar arasında birden fazla Debian ve Ubuntu sürümünün yer aldığı görülüyor.
Kötü amaçlı yazılımlar, botnet’ler ve dolandırıcılıkla mücadele eden kar amacı gütmeyen bir güvenlik kuruluşu olan Shadowserver Vakfı, “güvenli bir şekilde kontrol etme yeteneğinin olmaması” nedeniyle CVE-2026-24061 kusuruna sahip GNU InetUtils telnetd örneklerini “açıkça” tarayamadığını söyledi.
Ancak gözlemci, çoğunlukla Asya ve Güney Amerika’da yaklaşık 800.000 Telnet örneğinin internete açık durumda kaldığını söyledi. Ülke düzeyinde, Çin’de yaklaşık 130.000 ve Brezilya’da 119.000 açıkta kalan uç nokta sayıldı; bunu Amerika Birleşik Devletleri’nde 50.000, Japonya’da 41.000, Meksika’da 30.000 ve Hindistan’da 27.000 izledi.
Uzmanlar, eski protokol kullanıcı adlarını ve şifreleri açık metin olarak ilettiği için Telnet’in asla kullanılmamasını tavsiye ediyor. Kullanılması gerekiyorsa, yöneticiler bunun tamamen kilitlendiğinden ve hiçbir zaman internete açık olmadığından emin olmalıdır.
Surrey Üniversitesi’nde bilgisayar bilimi misafir profesörü olan siber suç uzmanı Alan Woodward, sosyal platform X’te yayınlanan bir gönderide, “Bu, eski sistemlerde/protokollerde güvenlik açıklarının nasıl bulunabileceğinin iyi bir örneğidir. Bunu çalıştırmadığınızdan emin olun” dedi.
İstismar Girişimleri Spike
InetUtils’in telnetd güvenlik bültenini yayınlamasından 24 saatten kısa bir süre sonra siber güvenlik firması GreyNoise, bal küplerinin hem fırsatçı hem de hedefli istismar girişimlerini kaydetmeye başladığını söyledi.
GreyNoise, telnet oturumları aracılığıyla doğrudan istismar girişimleri gördüğünü, en az bir kötü amaçlı yazılım dağıtım sunucusunun muhtemelen botnet komut ve kontrol yazılımını veya kripto madencilerini zorladığını ve ayrıca kırmızı ekip oluşturma ve hem meşru hem de kötü amaçlarla kullanılabilecek diğer araçlara atıfta bulunan “çift amaçlı altyapı” gördüğünü bildirdi. Firma, başarılı girişimlerin, telnet kabukları sonlandırılsa bile saldırganlara kalıcı uzaktan erişim sağlayabileceği konusunda uyardı.
Çoğu durumda, saldırganların cihazlara erişim sağladıktan sonra Python tabanlı kötü amaçlı yazılımları serbest bırakmaya çalıştığı görülüyor. GTIA, “Bu, anında kök erişimi sağlayan, botnet operatörleri ve devlet destekli aktörler için oldukça çekici hale getiren ‘sıfır çaba’lı bir istismardır” dedi.
Inversion6’nın olay müdahale direktörü Tyler Hudak, LinkedIn’de yaptığı bir paylaşımda, CVE-2026-24601 işaretlerini arayacak şekilde yapılandırılmış bir bal küpünün 60 dakikadan daha kısa bir sürede ele geçirildiğini söyledi. “Saldırganlar şu şekilde giriş yaptı: root ve hemen komutları uyguladık, arka kapıları kurduk ve daha fazla hedef taramaya başladık” dedi.
“Bu güvenlik açığının risk modellemesini yapan kuruluşlar, şirket içi ekipmanlarından daha fazlasını inceleyebilir. Bu yalnızca Linux sunucuları değil, IoT cihazları da etkileniyor.”
“Kuruluşunuz güvende olabilir, peki ya çalışanlarınızın evlerinde bulunan cihazlar?” Hudak dedi.
Siber güvenlik firması DynaRisk’in tehdit istihbaratı başkanı Milivoj Rajić, kusura yönelik istismarlar Rusya yanlısı hack forumlarındaki tartışmaların konusu, “bu nedenle mevcut sunuculara yönelik taramalarda kesinlikle bir artış bekleyebiliriz” dedi.
Bu tartışmalardan bazıları “saldırıları gerçekleştirmek için terminal komutlarına” odaklanıyor ancak aynı zamanda “daha az uzman kişilere saldırı gerçekleştirme yeteneği veren” daha otomatik araçların geliştirilmesine de ayrıntı veriyor.