В Erlang/OTP обнаружена критическая уязвимость CVE-2025-32433, которая позволяет удаленно и без аутентификации выполнять произвольный код на уязвимых устройствах.
Дефект был обнаружен специалистами из Рурского университета в Бохуме (Германия) и набрал максимальные 10 баллов из 10 возможных по шкале оценки уязвимостей CVSS.
Проблема затрагивает все устройства, на которых работает SSH-демон Erlang/OTP, и для ее устранения рекомендуется как можно скорее обновиться до версий OTP-27.3.3, OTP-26.2.5.11 и OTP-25.3.2.20.
Erlang/OTP (Open Telecom Platform, OTP) представляет собой фреймворк, содержащий набор библиотек, шаблонов проектирования для построения масштабируемых распределенных приложений на языке Erlang и инструментов, включая такие компоненты, как SSH-приложение для удаленного доступа.
CVE-2025-32433 связана с некорректной обработкой некоторых сообщений протокола предварительной аутентификации в демоне SSH, предоставляемом SSH-приложением Erlang/OTP.
«Проблема связана с недостатком при обработке SSH-сообщений, из-за чего атакующий получает возможность отправлять сообщения до прохождения аутентификации», — объясняется в списке рассылки Openwall.
Любые команды, выполняемые с помощью этой уязвимости, будут запускаться с теми же привилегиями, что и демон SSH. Во многих случаях демон работает под root, а значит, злоумышленники смогут полностью скомпрометировать систему.
Исследователи из команды Horizon3 сообщают, что им уже удалось воспроизвести уязвимость и найти «удивительно простой» способ ее эксплуатации. Эксперты продемонстрировали PoC-эксплоит, который записывает файл от имени root в уязвимых системах. Они подчеркивают, что публичные PoC-эксплоиты наверняка появятся совсем скоро, а следом начнутся атаки на CVE-2025-32433.
Эксперты рекомендуют организациям как можно скорее обновиться до исправленных версий, пока PoC не стали общедоступными, и уязвимость не начала применяться в массовых атаках. Если установка патчей по каким-то причинам невозможна, рекомендуется ограничить доступ к SSH только доверенными IP-адресами или временно отключить демон SSH вовсе.
