Kritická zraniteľnosť v knižnici Erlang/OTP

Vývojári knižnice Erlang OTP (Open Telecom Platform) vydali bezpečnostné aktualizácie svojho produktu, ktoré opravujú kritickú zraniteľnosť v serverovom komponente SSH. Zraniteľnosť s identifikátorom CVE-2025-32433 možno zneužiť na vzdialené vykonanie kódu.

Zraniteľné systémy:

  • Knižnica Erlang/OTP vo verziách starších ako 27.3.3
  • Knižnica Erlang/OTP vo verziách starších ako 26.2.5.11
  • Knižnica Erlang/OTP vo verziách starších ako 25.3.2.20

Opis zraniteľnosti:

CVE-2025-32433  (CVSS 3.1 skóre: 10,0)

Kritická zraniteľnosť spočíva v nesprávnom spracovaní správ protokolu SSH, ktoré umožňuje zaslanie správ protokolu pripojenia ešte pred samotnou autentifikáciou používateľa. Vzdialený neautentifikovaný útočník by ju mohol zneužiť na vzdialené vykonanie kódu v kontexte SSH démonazískanie úplnej kontroly nad Erlang/OTP SSH serverom.

Na uvedenú zraniteľnosť je v súčasnosti dostupný aj Proof-of-Concept kód demonštrujúci spôsob jej zneužitia.

Možné škody:

  • Vzdialené vykonanie kódu
  • Získanie úplnej kontroly nad systémom

Odporúčania:

Odporúčame uistiť sa, či Vaše aplikácie a služby nevyužívajú SSH servery založené na zraniteľných verziách knižnice. V prípade, že áno, odporúčame vykonať bezodkladnú aktualizáciu knižnice Erlang/OTP na verzie 27.3.3, 26.2.5.11 alebo 25.3.2.20.

V prípade, že aktualizáciu systémov nie je možné vykonať, zraniteľnosť je možné mitigovať aj limitovaním sieťovej komunikácie len na dôveryhodné zdroje.

Uvedená knižnica je súčasťou produktov viacerých výrobcov, vrátane systémov ICS (Industrial Control Systems) a OT (Operational Technology). Výrobcovia pracujú na zapracovaní aktualizácií do svojich produktov. Čiastočný zoznam produktov využívajúcich túto knižnicu možno nájsť na stránke bezpečnostných výskumníkov zo spoločnosti Arctic Wolf, v časti Potentionally Affected Third-Party Software.

Zdroje: