В SSH-реализации Erlang/Open Telecom Platform (OTP) обнаружена критическая уязвимость, позволяющая выполнять произвольный код без аутентификации. Эта проблема получила идентификатор CVE-2025-32433 и максимальную степень опасности по шкале CVSS — 10.0.
Уязвимость выявлена исследователями из Рурского университета Бохума: Фабианом Боймером, Маркусом Бринкманном, Марселем Мэреном и Йоргом Швенком. Они обнаружили, что неправильная обработка SSH-сообщений на этапе соединения позволяет злоумышленнику отправить определённые протокольные сообщения до прохождения аутентификации. Это открывает возможность выполнить произвольный код с правами процесса SSH-демона.
Если SSH-демон работает от имени root, атакующий получает полный контроль над устройством, включая доступ к конфиденциальным данным, возможность их изменения и удалённого запуска вредоносных программ, таких как программы-шантажисты. Также возможно проведение атак типа отказ в обслуживании (DoS).
Уязвимость затрагивает всех пользователей, использующих SSH-сервер на базе Erlang/OTP. Этот стек широко применяется в системах с высокой доступностью. Наиболее подвержены риску устройства и сервисы от Cisco и Ericsson, большая часть которых построена на Erlang. Также в зоне риска все службы удалённого доступа на Erlang/OTP, включая промышленные и IoT-устройства, оборудование на периферии (edge computing) и другие высоконагруженные системы.
Для устранения проблемы разработчики выпустили обновления для следующих версий: OTP-27.3.3, OTP-26.2.5.11 и OTP-25.3.2.20. Если немедленное обновление невозможно, рекомендуется временно ограничить доступ к уязвимым SSH-серверам с помощью правил межсетевого экрана.
Менеджер отдела исследований безопасности компании Qualys, Майуреш Дани, назвал уязвимость «крайне критичной». По его словам, злоумышленники могут использовать этот баг для установки программ-вымогателей и кражи ценных данных. Дани советует: «Если вы не можете срочно обновиться, ограничьте доступ к SSH-порту только для авторизованных пользователей».
Наилучшей практикой защиты остаётся обновление до исправленных версий Erlang/OTP или до свежих сборок от вендоров. При невозможности обновления — временно закрывать доступ к SSH исключительно для доверенных пользователей, используя фильтрацию по IP-адресам и межсетевые экраны.
Изображение носит иллюстративный характер
Уязвимость выявлена исследователями из Рурского университета Бохума: Фабианом Боймером, Маркусом Бринкманном, Марселем Мэреном и Йоргом Швенком. Они обнаружили, что неправильная обработка SSH-сообщений на этапе соединения позволяет злоумышленнику отправить определённые протокольные сообщения до прохождения аутентификации. Это открывает возможность выполнить произвольный код с правами процесса SSH-демона.
Если SSH-демон работает от имени root, атакующий получает полный контроль над устройством, включая доступ к конфиденциальным данным, возможность их изменения и удалённого запуска вредоносных программ, таких как программы-шантажисты. Также возможно проведение атак типа отказ в обслуживании (DoS).
Уязвимость затрагивает всех пользователей, использующих SSH-сервер на базе Erlang/OTP. Этот стек широко применяется в системах с высокой доступностью. Наиболее подвержены риску устройства и сервисы от Cisco и Ericsson, большая часть которых построена на Erlang. Также в зоне риска все службы удалённого доступа на Erlang/OTP, включая промышленные и IoT-устройства, оборудование на периферии (edge computing) и другие высоконагруженные системы.
Для устранения проблемы разработчики выпустили обновления для следующих версий: OTP-27.3.3, OTP-26.2.5.11 и OTP-25.3.2.20. Если немедленное обновление невозможно, рекомендуется временно ограничить доступ к уязвимым SSH-серверам с помощью правил межсетевого экрана.
Менеджер отдела исследований безопасности компании Qualys, Майуреш Дани, назвал уязвимость «крайне критичной». По его словам, злоумышленники могут использовать этот баг для установки программ-вымогателей и кражи ценных данных. Дани советует: «Если вы не можете срочно обновиться, ограничьте доступ к SSH-порту только для авторизованных пользователей».
Наилучшей практикой защиты остаётся обновление до исправленных версий Erlang/OTP или до свежих сборок от вендоров. При невозможности обновления — временно закрывать доступ к SSH исключительно для доверенных пользователей, используя фильтрацию по IP-адресам и межсетевые экраны.
