Seit dem Wochenende kursieren Meldungen über eine kritische Sicherheitslücke im Telnet-Server der GNU InetUtils. Auch ein Exploit, der den Missbrauch der Umgehung der Anmeldung vorführt, ist bereits verfügbar. Panik ist jedoch nicht angeraten.

Eine Sicherheitsmitteilung haben die Maintainer der Software auf der OpenSource-Security-Mailingliste verteilt. Der Telnet-Dienst telnetd der GNU InetUtils überreicht demnach den Wert der Umgebungsvariable USER, der vom Telnet-Client als letzter Parameter übergeben wird, an „/usr/bin/login“. Mit einer einfachen Manipulation, sodass der USER-Parameter die Zeichenkette „-f root“ sowie gegebenenfalls die telnet-Parameter „-a“ oder „–login“ enthält, erfolgt eine automatische Anmeldung als User „root“. Das umgeht die reguläre Authentifizierung. Da der GNU InetUtils telnetd-Server keine Filterung des USER-Parameters vor dessen Weiterreichen vornimmt, kann das passieren (CVE-2026-24061, CVSS 9.8, Risiko „kritisch“).

Das ist äußerst trivial, dennoch sind dafür auch Proof-of-Concept-Exploits verfügbar. Cyberkriminelle haben es also äußerst einfach, die Lücke massenhaft anzugreifen. Und das tun sie bereits in freier Wildbahn, sodass die US-amerikanische IT-Sicherheitsbehörde CISA am Montag dieser Woche die Schwachstelle in den „Known Exploited Vulnerabilities“-Katalog aufgenommen hat. Betroffen sind die GNU InetUtils 1.9.3 (aus dem Mai 2015) bis einschließlich 2.7. Seit dem 19. Januar 2026 steht ein Patch zum Schließen der Lücke bereit.

Telnet: Uraltes Klartextprotokoll

Telnet ist ein sehr altes Protokoll, das die Daten im Klartext überträgt. Wer so einen Dienst anbietet, sollte den Zugriff daher ohnehin auf vertrauenswürdige Rechner im LAN oder eventuell VPN beschränken. Eigentlich ist jedoch SSH der seit Dekaden übliche Ersatz dafür. Wer also einen telnetd offen im Internet betreibt, hat vermutlich bereits auch ganz andere Probleme im Netz.

Viel häufiger könnten Telnet-Server etwa auf Internetroutern aktiv sein. Insbesondere auf alten, schlecht oder gar nicht mehr gepflegten Geräten. Dort läuft jedoch üblicherweise eine besonders schlanke Variante aus Busybox, die jedoch die jetzt erkannte Sicherheitslücke wohl nicht enthält. Allerdings bieten tatsächlich auch große Geräte für Organisationen wie Cisco-Router potenziell Telnet-Zugriff – und auch dort stellen sie manchmal ein Sicherheitsrisiko dar.

(dmk)

Frankreich weitet seine souveräne Videokonferenzsoftware Visio auf alle staatlichen Dienste aus. Bis 2027 sollen rund 200.000 Beamte auf die Plattform umsteigen. Visio wird von der Direction Interministérielle du Numérique (DINUM) entwickelt und soll die Abhängigkeit von außereuropäischen Anbietern wie Microsoft Teams, Zoom, Google Meet, Webex und GoTo Meeting beenden.

Nach einer einjährigen Pilotphase mit 40.000 Nutzern folgt jetzt die Einführung für 200.000 Nutzer. Den Anfang macht das französische Forschungszentrum CNRS mit 34.000 Mitarbeitern und 120.000 assoziierten Forschern, die Krankenversicherung Assurance Maladie sowie die Generaldirektion für öffentliche Finanzen (DGFiP). Das Verteidigungsministerium soll im ersten Quartal 2026 folgen. Das CNRS hat bereits angekündigt, seinen bisherigen Zoom-Vertrag bis Ende März 2026 zu beenden.

„Dieses Projekt zeigt konkret, wie entschlossen der Premierminister und die Regierung sind, die digitale Unabhängigkeit des Landes zurückzuerobern“, erklärte David Amiel, Minister für öffentlichen Dienst und Staatsreform, bei einem Besuch im CNRS-Labor I2BC in Gif-sur-Yvette. „Wir können nicht das Risiko eingehen, dass unser wissenschaftlicher Austausch, unsere sensiblen Daten und unsere strategischen Innovationen außereuropäischen Akteuren ausgesetzt sind.“

Open Source und französisches Hosting

Visio basiert auf Open-Source-Komponenten und wird in Frankreich gehostet. Die Infrastruktur betreibt Outscale, eine Tochter von Dassault Systèmes, die über die SecNumCloud-Zertifizierung der französischen Cybersicherheitsbehörde ANSSI verfügt. Diese Zertifizierung garantiert, dass alle Daten auf französischem Boden bleiben und nicht der US-Jurisdiktion unterliegen. Die Plattform ist DSGVO-konform und wurde speziell für den Einsatz im öffentlichen Dienst entwickelt.

Die Software unterstützt Videokonferenzen mit bis zu 150 Teilnehmern und bietet Funktionen wie Aufzeichnung, Bildschirmfreigabe, Chat und Reaktionen. Ein besonderes Feature ist die automatische Transkription mit Speaker-Diarisierung, entwickelt vom französischen Startup Pyannote. Für Sommer 2026 sind Echtzeit-Untertitel geplant, die das KI-Labor Kyutai entwickelt. Kyutai wird mit rund 300 Millionen Euro von Investoren wie Xavier Niel und Rodolphe Saadé finanziert.

Teil der digitalen Souveränitätsstrategie

Visio ist in die Arbeitsumgebung La Suite integriert, die weitere souveräne Tools wie den sicheren Messaging-Dienst Tchap und Docs umfasst. Laut Nutzer-Feedback aus der Pilotphase funktioniert die Plattform „performant und ohne Fehler“. Ein Forscher des INRAE lobte: „Ein wirklich tolles Tool, vielen Dank für diese Entwicklung!“

Die französische Regierung verspricht sich von der Umstellung erhebliche Kosteneinsparungen: Pro 100.000 Nutzern soll jährlich rund eine Million Euro an Lizenzgebühren für kommerzielle Anbieter entfallen. Diese Berechnung basiert auf den aktuellen Kosten für Lizenzen von Teams, Zoom und anderen Diensten. Details hierzu finden sich in der Mitteilung des Wirtschaftsministeriums zur Visio-Initiative.

Der französische Vorstoß fügt sich in eine breitere europäische Bewegung für mehr digitale Souveränität ein. Das EU-Parlament forderte kürzlich eine Loslösung von US-Tech-Riesen und mehr Investitionen in heimische KI- und Open-Source-Anwendungen. Auch Deutschland und Frankreich arbeiten bei Cloud-Sicherheitsstandards zusammen, wie beim deutsch-französischen Digitalgipfel deutlich wurde. Eine Bitkom-Studie zeigt die Dimension des Unterfangens: 62 Prozent der deutschen Unternehmen übertragen personenbezogene Daten ins Ausland – 90 Prozent davon nutzen Videokonferenzsysteme, 61 Prozent transferieren Daten in die USA.

(fo)

Das CERT-Bund des Bundesamts für Sicherheit in der Informationstechnik untersucht den deutschen Teil des Internets nach verwundbaren Diensten. Dabei kam es in der vergangenen Woche auf rund 2500 verwundbare VMware ESXi-Instanzen, deren Verwaltungsschnittstellen offen aus dem Internet zugänglich waren.

Das hat die oberste deutsche IT-Sicherheitsbehörde im sozialen Netzwerk Mastodon gemeldet. „CERT-Bund sind aktuell rund 2.500 offen aus dem Internet erreichbare Management-Schnittstellen von VMware ESXi-Servern in Deutschland bekannt“, schreibt das BSI dort. Weiter ergänzt sie: „Diese sollten grundsätzlich nicht im Internet exponiert werden.“

Der Scan-Analyse zufolge laufen 60 Prozent der Server mit veralteten Versionen, die nicht einmal mehr Support vom Hersteller erfahren. „Weitere 31% laufen mit einer aktuellen Version, aber einem veralteten Patch-Stand“ – somit sind die für Cyberattacken anfällig.

Sisyphos-Arbeit des BSI

„CERT-Bund benachrichtigt deutsche Netzbetreiber seit zwei Jahren zu betroffenen Systemen in ihren Netzen“, erklären die Autoren der Meldung weiter. Eine nie enden wollende Aufgabe offenbar, was auch schon bei anderen anfälligen Servern auffiel. So stehen eine Größenordnung höhere Anzahl an verwundbaren Exchange-Servern offen im Netz und sind dadurch Angreifern ausgeliefert. Mehr als 30.000 allein in Deutschland sah das BSI Ende vergangenen Oktober.

Da nimmt sich die Anzahl an im Netz erreichbaren, verwundbaren Zimbra-Server mit rund 600 nicht mehr vom Hersteller unterstützten Fassungen und mehr als 150 weiteren für aktuelle, kritische Schwachstellen anfälligen Systemen Mitte Januar 2026 vergleichsweise klein aus.

Für die verwundbaren Softwarestände gibt es aktualisierte Versionen, die die Sicherheitslücken darin schließen. Offenbar hinken Admins in deutschen Organisationen ungebrochen zu einem großen Anteil mit Aktualisierungen teils deutlich hinterher.

(dmk)