Was jetzt zuerst tun?
- 1
Exposure prüfen
Sofort prüfen, ob TCP/23 aus dem Internet, Partnernetzen, breiten internen Netzen oder VPN-Sammelpunkten erreichbar ist.
- 2
Dienst abschalten oder begrenzen
Wenn möglich telnetd deaktivieren oder den Zugriff strikt auf vertrauenswürdige Management-Netze begrenzen.
- 3
Migration auf SSH priorisieren
Falls Telnet betriebsbedingt noch benötigt wird: Exposure kurzfristig reduzieren, Monitoring aktivieren und die Migration auf SSH priorisieren.
Die Telnet-Sicherheitslücke CVE-2026-32746 betrifft GNU Inetutils telnetd bis einschließlich Version 2.7 und ist für Unternehmen vor allem deshalb brisant, weil sie ohne vorherige Anmeldung aus dem Netz ausnutzbar ist. Laut NVD liegt die Ursache in einem Out-of-Bounds-Write im Handler für die LINEMODE-SLC-Option.
Für IT-Verantwortliche ist jetzt nicht die Frage, ob Telnet „eigentlich schon lange weg sollte“, sondern ob der Dienst heute noch irgendwo erreichbar ist: auf Altservern, Appliances, in Laborumgebungen, OT-nahen Netzen oder auf Geräten, die nie sauber auf SSH umgestellt wurden. Genau dort entsteht akuter Handlungsdruck.
Was ist passiert? (CVE-2026-32746)
Laut NVD erlaubt telnetd in GNU Inetutils bis einschließlich Version 2.7 einen Out-of-Bounds-Write im Handler der LINEMODE SLC-Suboption, weil die Funktion add_slc nicht prüft, ob der Puffer bereits voll ist.
Die heise-Meldung vom 18. März 2026 ordnet die Schwachstelle als kritisch ein und beschreibt sie als aus dem Netz ohne vorherige Anmeldung ausnutzbar. Betroffen seien die GNU Inetutils bis einschließlich Version 2.7, also die damals aktuelle Fassung aus Dezember 2025.
Besonders problematisch: Laut heise stand zum Zeitpunkt der Veröffentlichung noch kein Update zur Verfügung. Die Entwickler planten laut Bericht damals eine fehlerkorrigierte Version für den 1. April 2026.
Welche Systeme sind betroffen?
Betroffen ist nach aktuellem Stand nicht „Telnet allgemein“, sondern spezifisch GNU Inetutils telnetd through 2.7. Genau diese Einordnung ist wichtig, weil viele Teams zwar wissen, dass irgendwo noch ein Telnet-Zugang existiert, aber nicht, welche Implementierung tatsächlich läuft.
Typische Fundstellen in Unternehmen sind ältere Linux-Server, historische Verwaltungszugänge auf Appliances, Laborumgebungen, OT-nahe Systeme oder Übergangslösungen, die nie sauber modernisiert wurden. Auch wenn Telnet nur intern betrieben wird, ist das Risiko nicht automatisch gering: Breite interne Netze, VPN-Sammelpunkte oder Partneranbindungen reichen oft als Angriffsfläche.
Wenn Sie unsicher sind, ob Ihr Setup betroffen ist, bringt eine strukturierte Prüfung von Exposure, Segmentierung und Legacy-Diensten schnell Klarheit.
Warum ist die Lücke für Unternehmen so kritisch?
Die operative Gefahr entsteht aus der Kombination von Netzwerkangriff ohne Anmeldung und potenziell vollständiger Systemkompromittierung. Wer heute noch Telnet für Administration, Wartung oder Störungsbehebung nutzt, hat damit unter Umständen einen direkt erreichbaren Einstiegspunkt in produktive Systeme.
Für viele KMU ist zusätzlich problematisch, dass Telnet selten bewusst betrieben wird. Häufig handelt es sich um historische Altlasten: ein alter Server, eine Appliance mit Legacy-Zugang, ein Testgerät oder eine seit Jahren nicht mehr dokumentierte Ausnahme. Genau deshalb erzeugen solche Dienste im Incident-Fall überproportional viel Aufwand.
Risiko nach Erreichbarkeit
| Situation | Risiko | Priorität | Empfehlung |
|---|---|---|---|
| Port 23 aus dem Internet erreichbar | Sehr hoch | Sofort | Blockieren, isolieren oder Dienst abschalten |
| Nur intern erreichbar, aber breites Netz | Hoch | Kurzfristig | Segmentieren, Monitoring aktivieren, SSH-Migration planen |
| Nur dediziertes Management-Netz | Mittel | Zeitnah | Zugriff weiter einschränken und Telnet mittelfristig ablösen |
Was jetzt zu tun ist: isolieren, einschränken, ablösen
1. Exposure sofort reduzieren
Weil zum Stand der Meldung noch kein Fix verfügbar war, ist die erste Priorität nicht „Patch einspielen“, sondern Angriffsfläche schließen. Alles, was telnetd unnötig erreichbar macht, sollte kurzfristig unterbunden werden.
- TCP/23 an Firewalls blockieren oder strikt auf ein dediziertes Management-Netz begrenzen.
- telnetd deaktivieren, wenn der Dienst nicht zwingend benötigt wird.
- VPN- und Jump-Host-Zugriffe prüfen, damit keine unnötige Reichweite auf Legacy-Systeme entsteht.
- Temporäre Ausnahmen dokumentieren, damit aus einer Notlösung kein Dauerzustand wird.
2. Betroffene Systeme enger segmentieren
Wenn Telnet aus betrieblichen Gründen kurzfristig nicht abgeschaltet werden kann, sollte die Erreichbarkeit auf wenige, vertrauenswürdige Admin-Systeme reduziert werden. Das minimiert das Risiko deutlich besser als „nur schnell patchen, wenn irgendwann ein Update da ist“.
3. SSH als Zielbild verbindlich festlegen
Selbst wenn ein Fix für diese konkrete CVE verfügbar ist, bleibt Telnet ein Klartextprotokoll. Zugangsdaten, Sessions und Betriebsgewohnheiten bleiben damit unnötig angreifbar. Die nachhaltige Lösung ist daher nicht „Telnet patchen und weitermachen“, sondern Telnet ablösen.
# Lauscht auf dem Host ein Telnet-Dienst?
ss -ltnp | grep ':23'
# Debian/Ubuntu: Inetutils-Paketstand prüfen
dpkg -l | grep inetutils
# RHEL-kompatible Systeme: Paketstand prüfen
rpm -qa | grep inetutils
# Optional: Port 23 aus Sicht eines Prüfsystems testen
nc -vz <zielhost> 23Warum Telnet grundsätzlich abgelöst werden sollte
Die aktuelle Schwachstelle ist nur der jüngste Beleg dafür, dass Legacy-Remote-Zugänge in produktiven Umgebungen ein unnötiges Risiko darstellen. Telnet bietet keine zeitgemäße Transportverschlüsselung, ist schwerer sauber zu kontrollieren und in der Praxis fast nie die beste verfügbare Lösung.
In den meisten Fällen ist SSH die pragmatische Alternative: mit Schlüsselauthentifizierung, klar definierten Admin-Pfaden, Logging, möglichst ohne direkten Root-Login und idealerweise nur über Bastion oder VPN. Wenn einzelne Altgeräte SSH nicht unterstützen, sollte das als technischer Schuldenposten sichtbar in die Modernisierungsplanung.
Vorgehen nach Unternehmensgröße
| Für KMU | Für größere Umgebungen |
|---|---|
| Port 23 schließen, betroffene Systeme inventarisieren, Telnet-Zugriffe auf Ausnahmen reduzieren und SSH als Standard definieren. | Zusätzlich: Segmentierung, Jump-Hosts, Asset-Ownership, Monitoring und ein klarer Prozess für Legacy-Ausnahmen im ISMS. |
Woran Sie einen möglichen Vorfall erkennen
Wenn betroffene Systeme bereits exponiert waren, sollte auf die technische Absicherung eine kurze Incident-Response-Prüfung folgen. Das ist keine Überreaktion, sondern saubere Betriebshygiene bei einer kritischen, netzwerkbasierten Schwachstelle.
- Prüfen Sie ungewöhnliche Verbindungsversuche und auffällige Telnet-Sessions auf betroffenen Hosts.
- Bewerten Sie Auth-, Prozess- und Netzwerk-Logs auf verdächtige Muster rund um
telnetd. - Wenn exponierte Systeme kritisch sind: Zugangsdaten rotieren und nachgelagerte Systeme auf Seitwärtsbewegung prüfen.
- Wenn belastbare Logs fehlen, das System konservativ behandeln und Isolation oder Rebuild prüfen.
Lessons Learned: Was Unternehmen daraus mitnehmen sollten
Die eigentliche Lehre aus CVE-2026-32746 ist nicht nur „kritische Schwachstelle in einem alten Dienst“, sondern: Legacy-Protokolle erzeugen über Jahre unsichtbare Risiken. Sie tauchen oft genau dann wieder auf, wenn es operativ am ungünstigsten ist.
Lessons Learned
| Lesson | Pragmatische Umsetzung |
|---|---|
| Legacy-Zugänge inventarisieren | Nicht nur Server zählen, sondern auch Altprotokolle und Management-Pfade sichtbar machen. |
| Erreichbarkeit ist ein Risikohebel | Internet-, VPN- und Partnernetz-Exposure regelmäßig prüfen. |
| Patchen allein reicht nicht | Unsichere Protokolle strukturell ablösen statt nur einzelne CVEs zu schließen. |
Recht & Compliance: Warum das Thema über Technik hinausgeht
Wer Telnet noch produktiv für Administration einsetzt, sollte das nicht nur als technisches Einzelproblem betrachten. In regulierten oder kritischen Umgebungen passt ein unverschlüsselter Legacy-Zugang meist weder zu einem reifen ISMS noch zu Anforderungen an Segmentierung, Nachvollziehbarkeit und risikobasierte Steuerung. Auch im Kontext von NIS2 ist die Sichtbarkeit solcher Altlasten wichtig.
Häufige Fragen aus der Praxis
Häufige Fragen zu CVE-2026-32746
Bin ich betroffen, wenn auf einem System einfach nur irgendein Telnet-Dienst läuft?
Gibt es bereits einen Patch?
Wie kritisch ist die Schwachstelle für Unternehmen?
Was ist die wichtigste Sofortmaßnahme, wenn ich heute noch nicht patchen kann?
Fazit
CVE-2026-32746 zeigt sehr deutlich, warum Telnet in modernen Umgebungen kein tragfähiger Administrationspfad mehr ist. Akut gilt: GNU Inetutils telnetd bis 2.7 prüfen, Exposure reduzieren, isolieren oder abschalten. Strategisch gilt: Telnet aus produktiven Umgebungen herausziehen und durch SSH, Segmentierung und saubere Inventarisierung ersetzen.
Wenn Sie wissen wollen, ob in Ihrer Umgebung noch unsichere Altprotokolle, unnötige Exponierungen oder schlecht kontrollierte Management-Zugänge aktiv sind, ist eine strukturierte Bestandsaufnahme meist sinnvoller als hektisches Einzelpatchen unter Zeitdruck.
Quellen
- heise online: Telnet – Kritische Lücke erlaubt Einschleusen von Schadcode aus dem Netzheise online, 18. März 2026
- NVD: CVE-2026-32746 – GNU Inetutils telnetd Out-of-Bounds WriteNational Vulnerability Database, abgerufen am 18.03.2026
- oss-security: Remote Pre-Auth Buffer Overflow in GNU Inetutils telnetd (LINEMODE SLC)Openwall / oss-security, 14. März 2026
- GNU Inetutils DownloadsGNU Project, Stand März 2026
- GNU bug-inetutils: Remote Pre-Auth Buffer Overflow in GNU Inetutils telnetdbug-inetutils Mailingliste, März 2026