जिस दिन Telnet गायब हो गया

 (labs.greynoise.io)
4 पॉइंट द्वारा GN⁺ 2026-02-12 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • 14 जनवरी 2026 को 21:00 (UTC) पर दुनिया भर में Telnet ट्रैफ़िक अचानक ढह गया, और ऑब्ज़र्वेशन नेटवर्क में 59% की लगातार गिरावट दर्ज की गई
  • 18 ASN पूरी तरह शांत हो गए, और 5 देशों (ज़िम्बाब्वे, यूक्रेन, कनाडा, पोलैंड, मिस्र) का ट्रैफ़िक पूरी तरह समाप्त हो गया
  • प्रमुख क्लाउड प्रदाताओं (AWS, Contabo आदि) में उलटे वृद्धि दिखी, जबकि उत्तर अमेरिकी ISP में बड़े पैमाने पर गिरावट आई
  • 6 दिन बाद GNU Inetutils telnetd की authentication bypass vulnerability (CVE-2026-24061) सार्वजनिक हुई, जो root access दिला सकने वाली गंभीर खामी निकली
  • इंडस्ट्री का ध्यान इस संभावना पर गया कि backbone स्तर पर port 23 filtering पहले से सूचना मिलने पर की गई कार्रवाई हो सकती है, और इसे Telnet के अंत का प्रतीकात्मक क्षण माना जा रहा है

दुनिया भर में Telnet ट्रैफ़िक का ढहना

  • 14 जनवरी 2026 को 21:00 (UTC) पर GreyNoise Global Observation Grid ने Telnet ट्रैफ़िक में अचानक गिरावट दर्ज की
    • एक घंटे पहले लगभग 74,000 sessions थे, जो अगले घंटे 22,000 रह गए — 65% की गिरावट
    • दो घंटे बाद यह 83% गिरकर 11,000 sessions के स्तर पर आ गया और वहीं बना रहा
  • दिसंबर 2025 से जनवरी 2026 की शुरुआत तक के औसत 9.1 लाख दैनिक sessions की तुलना में, इसके बाद यह 3.7 लाख के स्तर पर आ गया, यानी 59% कम
  • यह बदलाव धीरे-धीरे घटने वाला नहीं बल्कि एक ही समय पर हुआ तीखा टूटाव (step function जैसा बदलाव) था, जो routing infrastructure configuration में बदलाव की ओर इशारा करता है

शांत हो चुके नेटवर्क और देश

  • 18 ASN 15 जनवरी के बाद Telnet ट्रैफ़िक में ‘0’ पर आ गए
    • Vultr(AS20473) 3.8 लाख → 0, Cox Communications(AS22773) 1.5 लाख → 0
    • Charter/Spectrum(AS20115), BT/British Telecom(AS2856) आदि भी शामिल
  • 5 देशों (ज़िम्बाब्वे, यूक्रेन, कनाडा, पोलैंड, मिस्र) का ट्रैफ़िक पूरी तरह खत्म हो गया
  • दूसरी ओर AWS 78% बढ़ा, Contabo 90% बढ़ा, DigitalOcean +3% पर स्थिर रहा
    • क्लाउड प्रदाता private peering नेटवर्क के जरिए backbone filtering के असर से बच गए

port 23 filtering की संभावना

  • पैटर्न से संकेत मिलता है कि उत्तर अमेरिका के Tier 1 transit providers ने port 23 filtering लागू की
    • समय अमेरिकी पूर्वी समय के अनुसार 16:00 था, जो अमेरिका के maintenance window से मेल खाता है
    • Cox, Charter, Comcast(-74%) जैसे अमेरिकी ISP बुरी तरह प्रभावित हुए
    • Verizon/UUNET(AS701) में 79% गिरावट आई, जो इसे filtering लागू करने वाले या upper path के रूप में संभावित बनाती है
  • यूरोप के direct peering वाले देश (फ़्रांस +18%, जर्मनी -1%) पर असर बहुत कम रहा
  • चीन की telecom कंपनियों (China Telecom, China Unicom) दोनों में 59% गिरावट दर्ज हुई
    • यह समान गिरावट दर अमेरिकी पक्ष के trans-Pacific links पर filtering की संभावना दिखाती है

CVE-2026-24061 vulnerability का खुलासा

  • GNU Inetutils telnetd में authentication bypass vulnerability, CVSS 9.8 रेटिंग
    • USER environment variable को प्रोसेस करते समय argument injection के जरिए -f root पास करने पर बिना authentication root shell हासिल किया जा सकता है
    • यह 2015 के commit में आई थी और लगभग 11 साल तक पकड़ में नहीं आई
  • प्रमुख टाइमलाइन
    • 14 जनवरी: Telnet ट्रैफ़िक का ढहना शुरू
    • 20 जनवरी: CVE सार्वजनिक
    • 21 जनवरी: NVD में दर्ज और पहला exploitation देखा गया
    • 26 जनवरी: CISA KEV सूची में जोड़ा गया
  • ट्रैफ़िक ढहना CVE सार्वजनिक होने से 6 दिन पहले हुआ, जिससे महज़ संयोग से अधिक संबंध की संभावना उठती है

advance notice और infrastructure response की परिकल्पना

  • vulnerability की रिपोर्ट करने वालों के रूप में Kyu Neushwaistein / Carlos Cortes Alvarez का नाम सामने आया, और रिपोर्ट 19 जनवरी की बताई गई
  • patch preparation और CISA response का सार्वजनिक खुलासे के सिर्फ एक दिन के भीतर हो जाना पहले से समन्वय की संभावना दिखाता है
  • GreyNoise ने यह परिकल्पना रखी
    • प्रमुख infrastructure operators को advance notice मिला और उन्होंने पहले से port 23 filtering लागू कर दी
    • 14 जनवरी को filtering चालू → 20 जनवरी को खुलासा → 26 जनवरी को CISA में सूचीबद्ध
  • हालाँकि स्पष्ट सबूत नहीं हैं, और यह भी कहा गया कि यह केवल समय का संयोग हो सकता है

इसके बाद Telnet ट्रैफ़िक का पैटर्न

  • 14 जनवरी के बाद आरी-दाँत जैसा पैटर्न बना रहा
    • उदाहरण: 28 जनवरी को 8 लाख sessions → 30 जनवरी को 1.9 लाख sessions
    • बीच-बीच में filtering, routing बदलाव, या किसी खास scanner campaign की संभावना
  • साप्ताहिक औसत
    • 19 जनवरी वाला सप्ताह: 3.6 लाख sessions (baseline का 40%)
    • 2 फ़रवरी वाला सप्ताह: 3.2 लाख sessions (35%)
  • baseline के लगभग एक-तिहाई स्तर पर स्थिरता, और गिरावट का रुझान अब भी जारी

सुरक्षा और संचालन के लिए संकेत

  • GNU Inetutils telnetd उपयोगकर्ताओं को तुरंत 2.7-2 या उससे ऊपर अपडेट करना चाहिए या सेवा बंद कर देनी चाहिए
    • CISA ने 16 फ़रवरी 2026 तक federal agencies के लिए patch deadline तय की
    • सार्वजनिक होते ही कुछ ही घंटों में exploitation attempts दिखे, जो फ़रवरी की शुरुआत में रोज़ 2,600 sessions तक बढ़े और फिर घटे
  • network operators को port 23 filtering पर विचार करना चाहिए
    • backbone स्तर पर filtering पहले से जारी है, और Telnet ट्रैफ़िक को अब बेकार protocol माना जा रहा है
  • GreyNoise ने यह दर्ज किया कि “किसी ने इंटरनेट के बड़े हिस्से में Telnet बंद कर दिया”,
    और इसे Telnet युग के अंत का प्रतीकात्मक घटनाक्रम बताया

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 2026-02-12
Hacker News की राय

  • telnetd से भी ज़्यादा गंभीर बात यह है कि Tier 1 transit providers ने port filtering शुरू कर दी है
    इसका मतलब इंटरनेट का विभाजन हो गया है, और अब इसे automatic routing (BGP) से भी bypass नहीं किया जा सकता

    • जब मैं पहले एक छोटे ISP में काम करता था, तब Blaster worm फैला था, और port 139 जैसी चीज़ों को block करना सबसे तेज़ response था
      उस समय ज़्यादातर ISP ने ports block किए थे, और नतीजे में सुरक्षा बेहतर हुई थी
      अगर सच में telnet चाहिए, तो उसे किसी दूसरे port पर ले जाएँ या tunneling करें
      सोचता हूँ क्या आज भी कोई default port 23 पर telnet चला रहा है
    • censorship का जोखिम एक समस्या है, लेकिन hospital, bank, nuclear जैसे systems hack होकर लोगों की जान जोखिम में पड़ना भी उतना ही गंभीर है
      ऐसे फैसले लेने वाले लोग अधिकार और ज़िम्मेदारी दोनों रखते हैं
    • port 23 को तो ज़्यादातर providers दशकों पहले से filter करते आए हैं
      इसलिए अब सब कुछ TLS 443 port पर इकट्ठा होता जा रहा है
      इसे censorship कहकर शोर मचाने की बात नहीं है, असली censorship FOSTA/SESTA जैसे कानूनों में देखनी चाहिए
    • मुझे लगता है ports को block करना आखिरकार censorship से अलग नहीं है
    • मैं Spectrum ISP के ज़रिए GNU telnet client से Seattle और Netherlands के servers तक connect कर पाया था

  • यह सच में हैरान करने वाला bug है
    इंटरनेट के शुरुआती 10 साल लगभग सिर्फ telnet इस्तेमाल होने वाला दौर थे
    तब ethernet traffic देखने पर password सीधे दिख जाते थे, और ज़्यादातर systems multi-user environment थे
    यह मानना मुश्किल है कि telnet -l 'root -f' server.test जैसा command 11 साल तक बचा रहा

    • software में जितना ज़्यादा समय बिताता हूँ, उतना ही हैरान होता हूँ कि दुनिया ऐसे चल रही है
      लगता है अभी भी low-hanging fruit जैसी कमजोरियाँ बहुत होंगी
    • मैंने root से login नहीं किया था, लेकिन स्कूल के AIX account पर lynx से web browse करने का दौर देखा है
      तब कभी लगा ही नहीं कि traffic monitor हो रहा होगा, बस एक आज़ाद-सा समय था
      telnet से mail (pine), web (lynx), IRC सब चलता था
    • याद भी नहीं कि कब telnet इस्तेमाल करना बंद किया
      बहुत सारे servers पर root telnet login खुला रहता था, फिर भी कभी hack नहीं हुए
      सच में वो दौर याद आता है
    • याद आया कि पहले rlogin -l '-froot' जैसी vulnerability भी होती थी
      उस समय ऐसी चीज़ें आम थीं
    • login के लिए तो इस्तेमाल नहीं करता था, लेकिन debugging tool के तौर पर यह अब भी काम का था
      containers के बीच traffic जा रहा है या नहीं, यह जाँचने में इसे अक्सर इस्तेमाल करता था

  • Telnet client खुद अभी मरा नहीं है
    पहले SMTP server (port 25) पर telnet से connect होकर spoofed mail भेजा करता था
    लेकिन security के नाम पर ports block होने बढ़ते गए, तो लगता है आखिरकार सारी services port 443 पर आ जाएँगी

    • आजकल netcat, socat, openssl s_client जैसे tools कहीं बेहतर विकल्प हैं
      telnet से कहीं ज़्यादा शक्तिशाली
    • बचपन में telnet से SMS भेजा था
      receiver को वह किसी official carrier account जैसा दिखता था, तब वह मासूमियत लगी थी लेकिन अब सोचता हूँ तो खतरनाक शरारत थी
    • telnet client या telnetd खुद अभी भी इस्तेमाल किए जा सकते हैं
      बस लगता है global routing स्तर पर default port block कर दिया गया है
      शायद unprotected पुराने systems को बचाने के लिए यह कदम उठाया गया है

  • अब भी समझ नहीं आता कि इंटरनेट पर telnet क्यों इस्तेमाल किया जाता है
    ज़्यादातर traffic शायद attack traffic ही होगा

    • कुछ लोग इसे historical systems preservation के लिए चलाते हैं
    • सच कहें तो ASCII Star Wars देखने के लिए
      telnet towel.blinkenlights.nl
      YouTube वीडियो लिंक
    • legacy·IoT·industrial equipment में अब भी telnet इस्तेमाल होता है
      SSH भी व्यवहार में कई बार ढीली security के साथ इस्तेमाल होता है
      जैसे host key verification बंद कर देना, या password-less key इस्तेमाल करना
      इसलिए व्यवहारिक रूप से telnet + HTTPS websocket + OAuth का संयोजन ज़्यादा सुरक्षित हो सकता है
    • amateur radio (HAM) में encryption प्रतिबंधित है, इसलिए telnet का इस्तेमाल होता है
      लेकिन signed data transfer की अनुमति है, इसलिए उसके लिए किसी वैकल्पिक protocol की ज़रूरत है
    • अब भी MUD या MOO जैसे text-based game servers ज़्यादातर telnet ही इस्तेमाल करते हैं

  • यह CVE embedded device hacking community के लिए अच्छी खबर है
    जिन devices में telnetd खुला है, उनमें root privileges पाने की संभावना बढ़ गई है

    • मैंने खुद Zyxel WiFi AP पर test किया, लेकिन शायद busybox-आधारित telnetd होने की वजह से वह vulnerable नहीं था

  • यह CVE इस commit से शुरू हुआ
    इसमें user_name को uname में बदला गया, और मुझे समझ नहीं आया कि ऐसा rename क्यों ज़रूरी था

    • ChangeLog देखने पर पता चलता है कि user_name global variable के साथ name collision (shadowing) कर रहा था, इसलिए इसे बदला गया
    • लेकिन मुझे लगता है कि ऐसे बदलावों से भी ज़्यादा ज़रूरी getenv() calls की जाँच करना है
      input parsing मुश्किल होती है, इसलिए वहाँ अक्सर vulnerabilities पैदा होती हैं

  • यह दिलचस्प है कि किसी ने internet transit infrastructure के ऊपरी स्तर पर telnet traffic drop करने का फैसला लिया
    शायद यह सही फैसला भी हो सकता है
    सोच रहा हूँ क्या इसका असर MUD traffic पर पड़ेगा

    • ज़्यादातर MUD वास्तव में Telnet protocol सीधे इस्तेमाल नहीं करते
      वे simple TCP पर चलते हैं, और dedicated clients को प्राथमिकता देते हैं
      port 23 IANA के हिसाब से Telnet के लिए reserved है, लेकिन MUD आमतौर पर 4-digit high ports इस्तेमाल करते हैं
      उल्टा अब port 23 पर चलाने से पहुँचना और मुश्किल हो जाएगा
    • लेख में यह साफ़ नहीं है, लेकिन शायद सिर्फ attack traffic filter किया जा रहा है
      Telnet plaintext है, इसलिए pattern analysis से इसे आसानी से पकड़ा जा सकता है
    • संभव है यह SMTP port blocking की तरह port-based block हो
      आजकल अगर server public network पर है, तो SSH इस्तेमाल करना चाहिए

  • यह CVE और उसका response सच में एक ऐतिहासिक घटना है
    यह मानना मुश्किल है कि एक व्यक्ति ने practically telnet युग का अंत कर दिया

    • असल में PR डालने वाला और उसे approve करने वाला, दो लोग थे
      इसमें security researcher की गलती नहीं है

  • internship के दिनों में, जब पता चला कि डेस्क पर रखे VoIP phone में telnet से connect किया जा सकता है, तो बहुत हैरानी हुई थी

    • मैं भी intern रहते हुए Perl CGI scripts को telnet से test किया करता था
      Hayes commands की आदत थी, इसलिए HTTP requests हाथ से type करना स्वाभाविक लगता था
    • मैंने भी ऐसा किया है, मज़ेदार यादें हैं

  • हाल ही में अपने telnet server के आँकड़े देखे तो औसतन करीब 2000 IP connect कर रहे थे
    जनवरी के मध्य में यह 7500 तक उछला, फिर वापस कम हुआ, और फ़रवरी में 1000 के स्तर तक गिर गया था