Het Telnet protocol werd eind jaren zestig ontwikkeld als onderdeel van ARPANET, en in 1972 formeel geregistreerd. Met een leeftijd van ruim vijftig jaar oud is het, naar internetstandaarden, bijna prehistorisch. Toch wordt het nog steeds gebruikt, en bovendien nog steeds gepatcht.
Telnet werd ontwikkeld als communicatieprotocol voor terminals. Het is een protocol waarmee, naar de standaard van de tijd, snel veel tekst verstuurd kon worden met relatief weinig systeemvereisten. Vanaf eind jaren negentig, met de introductie van het veiligere Secure Shell (SSH) protocol is het gebruik van Telnet afgenomen. Toch wordt het hier en daar nog wel gebruikt. Het gaat dan met name om industriële toepassingen, waarbij het gebruikt wordt om machines aan te sturen die te oud zijn voor modernere communicatieprotocollen, maar te duur om te vervangen voor nieuwere hardware.
Juist die apparaten zijn gevoelig voor een recent ontdekte kwetsbaarheid in het protocol. Deze kwetsbaarheid werd geïntroduceerd bij een update uit 1994, en is dus 32 jaar oud. Het probleem ontstaat bij het gebruik van speciale tekstkarakters. Informatie over speciale karakters wordt opgeslagen in een array. Doordat het signaal om de informatie over de karakters te versturen meer informatie kan bevatten dan in het array past, is het mogelijk dat er een buffer overflow ontstaat. Door deze buffer overflow kunnen aanvallers toegang krijgen tot de root van de server.
Hoewel de toegang die verkregen kan worden door dit lek zich beperkt tot Telnet, kan het toch gebruikt worden om schade aan te richten. Dit met name in productieketens. Een enkel apparaat in de keten dat nog aangesproken kan worden via Telnet kan via dit protocol ontregeld worden, waardoor de hele keten uitvalt. Opvallend is dat dit probleem al sinds 2005 bekend was voor Telnet clients, de software die gebruikers laat communiceren met de server. Ook hier ging het om een kwetsbaarheid die ontstond door via speciale karakters een buffer overflow te creëren. De kwetsbaarheid is toen vrij snel gepatcht.
Het is wachten op een patch voor de kwetsbaarheid aan de kant van de servers. De kans dat uw organisatie in 2026 nog het Telnet-protocol gebruikt is zeer klein, vooral als uw organisatie niet met industriële productie werkt. De schade die door deze kwetsbaarheid kan worden aangericht is echter zeer groot. Het is daarom belangrijk om op de hoogte te blijven van de laatste lekken en beveiligingspatches, ook voor netwerkprotocollen die al bijna de pensioengerechtigde leeftijd hebben bereikt.