Erlang/Open Telecom Platform (OTP) SSH-t érintő sérülékenység kihasználása
Kiberbiztonsági szakemberek 2025 elején már megfigyelték, hogy rosszindulatú kiberszereplők kihasználják az Erlang/Open Telecom Platform (OTP) SSH-t érintő, mára már kijavított kritikus biztonsági rést. A kihasználások körülbelül 70%-a az OT hálózatokat védő tűzfalakat érintették. A sérülékenység (CVE-2025-32433,CVSS pontszám: 10,0), egy missing authentication hiba, amelyet egy Erlang/OTP SSH szerverhez hálózati hozzáféréssel rendelkező támadó kihasználhat tetszőleges kód végrehajtására. A hibát 2025 áprilisában javították az OTP-27.3.3, OTP-26.2.5.11 és OTP-25.3.2.20 verziókkal.
2025 júniusban az amerikai Cybersecurity and Infrastructure Security Agency (CISA) aktív kihasználások bizonyítékai alapján felvette a hibát a Known Exploited Vulnerabilities (KEV) katalógusába.
Az Erlang egy olyan programozási nyelv, amelyet párhuzamos rendszerek építésére terveztek, ahol egyszerre több kapcsolatra van szükség. Kiegészítő keretrendszere, az Open Telecom Platform (OTP) régóta megbízhatóan működik a kritikus infrastruktúrákban, a távközlési hálózatoktól a pénzügyi rendszerekig.
Az OT és 5G környezetek az Erlang/OTP-t használják, mivel az hibatűrő és skálázható, így minimális leállási idővel biztosítja a magas rendelkezésre állású rendszerek működését. A megfelelőségi és biztonsági követelmények miatt az OT és 5G rendszergazdák általában az Erlang/OTP natív SSH implementációját használják a hosztok távoli kezelésére, ami miatt a CVE-2025-32433 különösen nagy aggodalomra ad okot az ilyen típusú hálózatokban.
Az Erlang/OTP biztonságos kommunikációs képességeinek középpontjában a natív SSH implementáció áll, amely a titkosított kapcsolatokért, a fájlátvitelért és legfőképpen a parancsok végrehajtásáért felelős. Egy hiba ebben az implementációban lehetővé teszi egy hálózati hozzáféréssel rendelkező támadó számára, hogy hitelesítő adatok nélkül tetszőleges kódot futtasson a sérülékeny rendszereken, ami súlyos kockázatot jelent a kitett eszközökre nézve – áll a Unit 42 elemzésében.
