Hari Saat Telnet Menghilang

 (labs.greynoise.io)
4 poin oleh GN⁺ 2026-02-12 | 1 komentar | Bagikan ke WhatsApp
  • Pada 14 Januari 2026 pukul 21:00 (UTC), trafik Telnet global runtuh secara drastis, dengan penurunan berkelanjutan sebesar 59% terkonfirmasi di jaringan observasi
  • 18 ASN sepenuhnya hening, dan trafik di 5 negara (Zimbabwe, Ukraina, Kanada, Polandia, Mesir) lenyap total
  • Penyedia cloud utama (AWS, Contabo, dll.) justru meningkat, sementara ISP di Amerika Utara mengalami penurunan besar-besaran
  • Enam hari kemudian, kerentanan bypass autentikasi di GNU Inetutils telnetd (CVE-2026-24061) dipublikasikan dan dikonfirmasi sebagai celah kritis yang memungkinkan perolehan hak akses root
  • Industri menyoroti kemungkinan bahwa pemfilteran port 23 di tingkat backbone merupakan tindakan berdasarkan pemberitahuan sebelumnya, dan menilai ini sebagai peristiwa yang melambangkan akhir Telnet

Runtuhnya trafik Telnet global

  • Pada 14 Januari 2026 pukul 21:00 (UTC), GreyNoise Global Observation Grid mendeteksi keruntuhan tajam trafik Telnet
    • Dari sekitar 74.000 sesi satu jam sebelumnya menjadi 22.000 sesi pada jam berikutnya, turun 65%
    • Dua jam kemudian turun ke sekitar 11.000 sesi, atau 83% lebih rendah, lalu bertahan
  • Dibandingkan rata-rata harian 910.000 sesi dari Desember 2025 hingga awal Januari 2026, setelah itu turun menjadi sekitar 370.000 sesi, atau berkurang 59%
  • Perubahan ini bukan penurunan bertahap, melainkan pemutusan mendadak pada satu titik waktu (perubahan berbentuk step function), yang mengindikasikan kemungkinan perubahan konfigurasi infrastruktur routing

Jaringan dan negara yang hening

  • 18 ASN berubah menjadi trafik Telnet '0' setelah 15 Januari
    • Vultr (AS20473) 380.000 → 0, Cox Communications (AS22773) 150.000 → 0
    • Termasuk Charter/Spectrum (AS20115), BT/British Telecom (AS2856), dll.
  • 5 negara (Zimbabwe, Ukraina, Kanada, Polandia, Mesir) mengalami lenyapnya trafik secara total
  • Sebaliknya, AWS naik 78%, Contabo naik 90%, DigitalOcean bertahan di +3%
    • Penyedia cloud menghindari dampak pemfilteran backbone melalui jaringan peering privat

Kemungkinan pemfilteran port 23

  • Polanya menunjukkan indikasi bahwa operator transit Tier 1 di Amerika Utara menerapkan pemfilteran port 23
    • Waktunya bertepatan dengan pukul 16:00 waktu Timur AS, sesuai dengan jam pemeliharaan di AS
    • ISP AS seperti Cox, Charter, Comcast (-74%) terdampak besar
    • Verizon/UUNET (AS701) turun 79%, sehingga bisa menjadi pihak yang melakukan pemfilteran atau rute hulu utama
  • Negara Eropa dengan peering langsung (Prancis +18%, Jerman -1%) hampir tidak terdampak
  • Operator Tiongkok (China Telecom, China Unicom) sama-sama turun 59%
    • Tingkat penurunan yang seragam mengindikasikan kemungkinan pemfilteran pada link trans-Pasifik dari sisi AS

Pengungkapan kerentanan CVE-2026-24061

  • Kerentanan bypass autentikasi pada GNU Inetutils telnetd, dengan skor CVSS 9.8
    • Saat memproses variabel lingkungan USER, injeksi argumen memungkinkan -f root dikirim sehingga shell root dapat diperoleh tanpa autentikasi
    • Diperkenalkan lewat commit tahun 2015 dan tidak terdeteksi selama sekitar 11 tahun
  • Jadwal utama
    • 14 Januari: runtuhnya trafik Telnet dimulai
    • 20 Januari: CVE dipublikasikan
    • 21 Januari: didaftarkan di NVD dan eksploitasi pertama teramati
    • 26 Januari: ditambahkan ke daftar CISA KEV
  • Runtuhnya trafik terjadi 6 hari sebelum CVE dipublikasikan, memunculkan kemungkinan adanya keterkaitan lebih dari sekadar kebetulan

Hipotesis pemberitahuan awal dan respons infrastruktur

  • Pelapor kerentanan disebut sebagai Kyu Neushwaistein / Carlos Cortes Alvarez, dilaporkan pada 19 Januari
  • Fakta bahwa persiapan patch dan respons CISA terjadi hanya sehari setelah publikasi menunjukkan kemungkinan koordinasi sebelumnya
  • GreyNoise mengajukan skenario berikut
    • Operator infrastruktur utama menerima pemberitahuan awal dan menerapkan pemfilteran port 23 secara proaktif
    • Pemfilteran aktif 14 Januari → publikasi 20 Januari → pendaftaran CISA 26 Januari
  • Tidak ada bukti yang jelas, dan disebutkan pula bahwa ini bisa saja hanya kebetulan waktu semata

Pola trafik Telnet setelahnya

  • Setelah 14 Januari, pola bergerigi terus berlanjut
    • Contoh: 28 Januari 800.000 sesi → 30 Januari 190.000 sesi
    • Kemungkinan pemfilteran intermiten, perubahan routing, atau kampanye scanner tertentu
  • Rata-rata mingguan
    • Pekan 19 Januari: 360.000 sesi (40% dari baseline)
    • Pekan 2 Februari: 320.000 sesi (35%)
  • Stabil di sekitar sepertiga dari baseline, namun masih dalam tren menurun

Implikasi keamanan dan operasional

  • Pengguna GNU Inetutils telnetd harus segera memperbarui ke 2.7-2 atau lebih baru atau menonaktifkan layanan
    • CISA menetapkan tenggat patch bagi lembaga federal hingga 16 Februari 2026
    • Percobaan eksploitasi teramati dalam hitungan jam setelah publikasi, meningkat hingga 2.600 sesi per hari pada awal Februari lalu menurun
  • Operator jaringan perlu mempertimbangkan pemfilteran port 23
    • Pemfilteran sudah berlangsung di tingkat backbone, dan trafik Telnet tidak lagi dianggap sebagai protokol yang bernilai
  • GreyNoise mencatat bahwa “seseorang memutus Telnet dari sebagian besar Internet”,
    dan menilai ini sebagai peristiwa yang melambangkan akhir era Telnet

Bacaan terkait

1 komentar

 
GN⁺ 2026-02-12
Komentar Hacker News

  • Yang lebih serius daripada telnetd adalah fakta bahwa penyedia transit Tier 1 mulai melakukan pemfilteran port
    Ini berarti internet telah terpecah, dan menjadi struktur yang bahkan tidak bisa dielakkan dengan routing otomatis (BGP)

    • Dulu saat bekerja di ISP kecil, worm Blaster sempat meledak, dan memblokir port seperti 139 adalah respons tercepat
      Saat itu sebagian besar ISP memblokir port, dan hasilnya internet menjadi lebih aman
      Kalau benar-benar butuh telnet, tinggal pindah ke port lain atau gunakan tunneling
      Saya penasaran apakah masih ada orang yang menjalankan telnet di port default 23
    • Risiko sensor memang masalah, tetapi sistem seperti rumah sakit, bank, dan nuklir diretas hingga membahayakan nyawa manusia juga sama seriusnya
      Orang yang membuat keputusan seperti ini memegang wewenang dan tanggung jawab sekaligus
    • Port 23 sudah difilter oleh sebagian besar penyedia sejak puluhan tahun lalu
      Karena itu semuanya terkonsentrasi ke port TLS 443
      Ini bukan sesuatu yang perlu diteriakkan sebagai sensor; sensor yang sebenarnya harus dicari pada hukum seperti FOSTA/SESTA
    • Menutup port pada akhirnya tidak berbeda dari sensor
    • Saya bisa terhubung ke server di Seattle dan Belanda melalui ISP Spectrum memakai klien GNU telnet

  • Bug yang benar-benar mengejutkan
    Selama sekitar 10 tahun pertama internet, hampir semuanya adalah era yang serba telnet
    Saat itu, kalau melihat trafik Ethernet, kata sandi terlihat begitu saja, dan sebagian besar sistem adalah lingkungan multi-pengguna
    Sulit dipercaya perintah seperti telnet -l 'root -f' server.test bisa bertahan selama 11 tahun

    • Semakin lama bekerja di bidang perangkat lunak, semakin terasa ajaib bahwa dunia bisa berjalan seperti ini
      Rasanya masih banyak celah yang seperti buah yang menggantung rendah
    • Saya tidak login sebagai root, tetapi ada masa ketika saya menjelajah web dengan lynx memakai akun AIX kampus
      Waktu itu saya bahkan tidak terpikir bahwa trafik sedang dipantau; itu cuma masa yang terasa bebas
      Saya melakukan semuanya lewat telnet: email (pine), web (lynx), sampai IRC
    • Saya bahkan tidak ingat kapan berhenti memakai telnet
      Banyak server membuka akses root via telnet, tetapi tidak pernah diretas
      Saya benar-benar merindukan masa itu
    • Saya jadi ingat dulu juga ada celah seperti rlogin -l '-froot'
      Hal seperti itu memang umum pada masa itu
    • Saya tidak memakainya untuk login, tetapi masih berguna sebagai alat debugging
      Saya sering memakainya untuk mengecek apakah trafik antar-kontainer bisa lewat

  • Klien Telnet sendiri masih belum mati
    Dulu saya biasa masuk ke server SMTP (port 25) dengan telnet lalu mengirim email spoofing
    Namun karena pemblokiran port atas nama keamanan makin meluas, saya rasa pada akhirnya semua layanan akan terkonsentrasi di port 443

    • Sekarang alat seperti netcat, socat, openssl s_client adalah alternatif yang jauh lebih baik
      Jauh lebih kuat daripada telnet
    • Waktu kecil saya pernah mengirim SMS lewat telnet
      Di sisi penerima, itu tampak seperti akun resmi operator, dan saat itu terasa polos, tetapi kalau dipikir sekarang itu iseng yang berbahaya
    • Klien telnet maupun telnetd sendiri masih bisa dipakai
      Hanya saja, tampaknya port default diblokir di tingkat routing global
      Ini terlihat seperti langkah untuk melindungi sistem lama yang tidak aman

  • Saya masih tidak mengerti kenapa telnet masih dipakai di internet
    Bukankah mayoritas trafiknya serangan?

    • Sebagiannya dijalankan untuk pelestarian sistem bersejarah
    • Sebenarnya untuk menonton ASCII Star Wars
      telnet towel.blinkenlights.nl
      Tautan video YouTube
    • Di perangkat legacy, IoT, dan industri, telnet masih dipakai
      Bahkan SSH dalam praktiknya sering juga digunakan dengan keamanan yang lemah
      Misalnya mematikan verifikasi host key, atau memakai key tanpa kata sandi
      Jadi secara realistis kombinasi telnet + HTTPS websocket + OAuth bisa saja lebih aman
    • Di radio amatir (HAM), enkripsi dilarang, jadi mereka memakai telnet
      Sebagai gantinya, transmisi data bertanda tangan diperbolehkan, jadi dibutuhkan protokol alternatif semacam itu
    • Server game berbasis teks seperti MUD atau MOO masih kebanyakan memakai telnet

  • CVE kali ini adalah kabar baik bagi komunitas peretasan perangkat embedded
    Peluang memperoleh hak akses root pada perangkat dengan telnetd terbuka menjadi lebih besar

    • Saya sudah mengujinya langsung pada Zyxel WiFi AP, tetapi mungkin karena telnetd berbasis busybox, perangkat itu tidak rentan

  • CVE yang dimaksud berasal dari commit ini
    Intinya adalah mengganti user_name menjadi uname, dan saya sempat bertanya-tanya kenapa perubahan nama seperti ini perlu dilakukan

    • Kalau melihat ChangeLog, user_name diganti karena menimbulkan konflik nama (shadowing) dengan variabel global
    • Tetapi dibanding perbaikan seperti ini, menurut saya lebih penting memeriksa pemanggilan getenv()
      Karena parsing input itu sulit dan sering memunculkan kerentanan

  • Menarik bahwa seseorang memutuskan untuk membuang trafik telnet dari lapisan atas infrastruktur transit internet
    Mungkin itu memang keputusan yang benar
    Saya penasaran apakah trafik MUD akan ikut terdampak

    • Sebagian besar MUD tidak benar-benar memakai protokol Telnet secara langsung
      Mereka hanya berbasis TCP sederhana dan lebih suka klien khusus
      Port 23 memang dicadangkan IANA untuk Telnet, tetapi MUD biasanya memakai port tinggi empat digit
      Justru sekarang, menjalankannya di port 23 akan membuatnya lebih sulit diakses
    • Artikelnya tidak menjelaskan dengan jelas, tetapi kemungkinan yang difilter hanya trafik serangan
      Karena Telnet berbentuk plaintext, ia mudah terdeteksi lewat analisis pola
    • Kemungkinan besar ini adalah blokir berbasis port seperti pemblokiran port SMTP
      Kalau sekarang menjalankan server di jaringan publik, seharusnya memakai SSH

  • CVE ini dan respons terhadapnya benar-benar peristiwa bersejarah
    Sulit dipercaya satu orang pada dasarnya mengakhiri era telnet

    • Sebenarnya ada dua orang, yang satu mengajukan PR dan yang satu menyetujuinya
      Ini bukan salah peneliti keamanan

  • Saat magang, saya benar-benar takjub ketika menemukan bahwa telepon VoIP di meja bisa diakses lewat telnet

    • Saat magang saya juga sering menguji skrip Perl CGI lewat telnet
      Karena sudah terbiasa dengan perintah Hayes, mengetik langsung request HTTP terasa alami
    • Saya juga begitu, kenangan yang menyenangkan

  • Baru-baru ini saya melihat statistik server telnet saya, dan rata-ratanya ada sekitar 2000 IP yang terhubung
    Pada pertengahan Januari sempat melonjak ke 7500 lalu turun lagi, dan pada Februari jatuh ke kisaran 1000