Malgré une baisse rapide du nombre de serveurs exposés en ligne depuis la divulgation de la faille affectant telnetd, près de 800 000 adresses IP sont toujours possiblement menacées.
Quelques jours après la divulgation d’une faille critique affectant telnetd et les premières tentatives d’exploitation observées par GreyNoise, la fondation Shadowserver dresse un état des lieux des services Telnet encore accessibles sur Internet. Malgré une baisse rapide du nombre d’hôtes exposés après la médiatisation de la vulnérabilité, plusieurs centaines de milliers de serveurs continuent de répondre à des connexions Telnet.
Offre partenaire
Protection avancée des e-mails, des calendriers, des mots de passe, du réseau… de votre entreprise grâce à la suite d'applications professionnelles sécurisées.
Offre partenaire
Une surface d’exposition toujours importante
Avant toutes choses, il faut bien comprendre que les chiffres avancés par Shadowserver ne correspondent pas à un inventaire de systèmes vulnérables à la faille CVE-2026-24061, mais à une cartographie des services Telnet accessibles publiquement, indépendamment du logiciel utilisé ou de leur niveau de mise à jour.
Selon ces données, un peu plus de 800 000 adresses IP présentent encore aujourd’hui une empreinte Telnet accessible publiquement. La répartition géographique montre une forte concentration en Asie, avec plus de 390 000 instances recensées, suivie de l’Amérique du Sud (171 000) et de l’Europe (108 000). Aucun indicateur ne permet en revanche d’évaluer combien de ces systèmes exécutent une version vulnérable de GNU InetUtils.
Cette photographie masque toutefois une contraction rapide de la surface d’exposition puisqu’au 23 janvier, Shadowserver recensait plus de 1,48 million de serveurs Telnet accessibles, contre environ 814 000 le 24 janvier, puis 809 700 le 26 janvier. Une baisse marquée en l’espace de 72 heures, qui suggère une réaction immédiate de nombreux administrateurs, principalement via la désactivation du service ou le blocage du port TCP 23.
Une faille déjà activement exploitée
Pour rappel, la vulnérabilité révélée dans telnetd a mis en évidence une conséquence directe de cette exposition, puisqu’elle permet de contourner l’authentification et d’ouvrir une session administrateur à distance sur la machine qui exécute le service. Les premières tentatives d’exploitation observées par GreyNoise tendent d’ailleurs à montrer que l’exploit divulgué a rapidement été intégré dans des campagnes de scans automatisés opportunistes.
Par conséquent, lorsque telnetd repose sur GNU InetUtils, les correctifs publiés sur le dépôt officiel du projet doivent être appliqués, même s’ils nécessitent pour l’instant une intervention manuelle. À défaut, le service Telnet doit être désactivé ou rendu inaccessible depuis l’extérieur, notamment par le blocage du port TCP 23 au niveau des pare-feu, afin de réduire immédiatement la surface d’attaque.
Sources : Shadowserver [1], Shadowserver [2]
