Новая уязвимость CVE-2025-32433 позволяет удалённо выполнить код без проверки подлинности в реализации SSH-демона (sshd) на Erlang/OTP. Причиной стало некорректное использование состояния: демон обрабатывает сообщения злоумышленника до завершения процедуры аутентификации, что открывает путь к эксплуатации и потенциальному выполнению произвольного кода.
В чём техническая суть
Ключевая проблема — нарушение логики состояния в sshd: демон «не может отклонить сообщения после проверки подлинности до завершения проверки подлинности», из‑за чего обрабатываются сообщения, отправленные злоумышленником, что может привести к выполнению кода.
«демон не может отклонить сообщения после проверки подлинности до завершения проверки подлинности, что позволяет обрабатывать сообщения, отправленные злоумышленником, что может привести к выполнению кода.»
Какие системы уязвимы
- Экземпляры sshd, созданные на основе определённых версий Erlang/OTP.
- Чаще всего такие развёртывания встречаются в телекоммуникационных и промышленных (OT) системах.
Телеметрия и временная шкала атак
- Публичное раскрытие уязвимости: 16 апреля 2025 г.
- Первые зафиксированные попытки взлома: 1 мая 2025 г.
- Сканирование публичного Интернета (16 апреля – 9 мая 2025 г.) выявило:275 различных хостингов;
326 сервисов Erlang/OTP, доступных из Интернета. - Наибольшая концентрация таких сервисов зафиксирована в США, Бразилии и Франции.
Механизм эксплуатации и телеметрия DNS
Анализ полезной нагрузки и DNS‑телеметрии указывает на использование злоумышленниками обратных вызовов DNS с длинными случайно сгенерированными поддоменами под доменом dns.outbound.watchtowr[.]com. Такая схема совместима с оппортунистической эксплуатацией, когда злоумышленник устанавливает внеполосное подтверждение или каналы управления и управления (OOB callback / C2).
Паттерны активности и фокус на OT
- Попытки эксплуатации проявляются в виде концентрированных всплесков активности, а не в виде постоянных долгосрочных кампаний.
- Пик активности заметно смещён в сторону сред операционных технологий (OT).
- Анализ по странам показывает чрезвычайно высокую корреляцию с OT:Япония — ~99,7% триггеров связаны с OT;
Нидерланды, Ирландия, Бразилия, Эквадор — 100% OT для зафиксированных триггеров;
США — 71,15% триггеров относятся к OT, при этом зафиксировано 1916 сигнатур, инициированных из OT‑сред.
Вероятная тактика злоумышленников
Наблюдаемые схемы указывают на следующую последовательность действий злоумышленников:
- компрометация корпоративных точек опоры (footholds) и перемещение внутри корпоративной сети;
- доступ к периферийным OT‑устройствам и брандмауэрам;
- попытки эксплуатации уязвимого sshd на периферии и внутри корпоративной сети для достижения критических OT‑систем.
Последствия и риски
Сочетание незашифрованных/доступных из Интернета экземпляров Erlang/OTP sshd и всплесков эксплуатационной активности, смещённых в сторону OT, повышает риск для критически важной инфраструктуры, где используются такие среды выполнения. Это особенно актуально для телекоммуникаций и промышленных объектов, где успешная эксплуатация может привести к нарушению управления, утрате доступности или компрометации безопасности.
Краткий вывод
CVE-2025-32433 представляет серьёзную угрозу для организаций, эксплуатирующих sshd на Erlang/OTP, особенно в OT‑средах. Телеметрия показывает ранние и целенаправленные попытки эксплуатации, использование DNS‑обратных вызовов и смещённый фокус на периферийные промышленные сети, что требует повышенного внимания операторов критической инфраструктуры.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "CVE-2025-32433: удалённое выполнение кода в sshd на Erlang/OTP угрожает OT-системам".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.