Kamu istismarları artık CVE-2025-32433 olarak izlenen kritik bir Erlang/OTP SSH güvenlik açığı için mevcuttur ve bu da kimlik doğrulanmamış saldırganların etkilenen cihazlarda uzaktan kod yürütmesine izin vermektedir.
Almanya'daki Ruhr Üniversitesi Bochum'daki araştırmacılar Çarşamba günü kusuru açıkladı ve arka plan programını çalıştıran tüm cihazların savunmasız olduğunu söyledi.
OpenWall Güvenlik Açığı Posta Listesinde bir açıklama, "Sorun, bir saldırganın kimlik doğrulamadan önce bağlantı protokolü mesajlarını göndermesine izin veren SSH protokolü mesaj işlemesinde bir kusurdan kaynaklanıyor."
Kusur 25.3.2.10 ve 26.2.4 sürümlerinde sabitlendi, ancak paltform telekom altyapısı, veritabanları ve yüksek kullanılabilirlik sistemlerinde yaygın olarak kullanıldığından, cihazları hemen güncellemek kolay olmayabilir.
Bununla birlikte, çoklu siber güvenlik araştırmacıları, savunmasız cihazlarda uzaktan kod yürütülmesi sağlayan özel olarak istismarlar yarattığı için durum daha acil hale geldi.
Bu, Sıfır Gün Girişimi'nden Peter Girnus ve Horizon3'ten, kusurun şaşırtıcı derecede kolay olduğunu söyleyen araştırmacıları da içeriyor.
Kısa bir süre sonra, POC istismarları Github'da ProteFense tarafından yayınlandı ve bir diğeri anonim olarak Pastebin'de yayınlandı ve her ikisi de hızla sosyal medyada paylaşıldı.
Girnus, BleepingComputer'a ProDefense'in POC'sinin geçerli olduğunu, ancak Pastebin'e gönderilen kişiyi kullanarak Erlang/OTP SSH'yi başarılı bir şekilde kullanamadığını doğruladı.
Artık kamu istismarları mevcut olduğuna göre, tehdit aktörleri yakında savunmasız sistemler için taramaya ve bunlardan yararlanmaya başlayacak.
Girnus, BleepingComputer'a verdiği demeçte, "SSH en sık kullanılan uzaktan erişim yönetimi protokolüdür, bu nedenle bu kombinasyonun kritik altyapıda yaygın olmasını bekliyorum."
Diyerek şöyle devam etti: "Özellikle telkosların Volt ve Tuz Typhoon gibi Nation State APT'leri tarafından ne sıklıkta hedeflendiğini düşünmek biraz ilgili."
Girnus, ABD ve dünya çapında ABD ve dünya çapında telekomünikasyon sağlayıcılarını ihlal etmekten sorumlu Çin devlet destekli hack gruplarını ifade eder.
Girnus tarafından paylaşılan Shodan sorgusuna göre, Erlang/OTP'yi çalıştıran 600.000'den fazla IP adresi var. Ancak araştırmacı, bu cihazların çoğunluğunun güvenlik açığından etkilenmeyen CouchDB çalıştırdığını söylüyor.
Bir Apache CouchDB temsilcisi ayrıca BleepingComputer'a CouchDB'nin Erlang/OTP'den SSH sunucusunu veya istemci özelliklerini kullanmadığını doğruladı, bu nedenle savunmasız değil.
Artık kamu istismarları mevcut olduğuna göre, Erlang OTP SSH'yi çalıştıran tüm cihazların tehdit aktörlerinin kendilerini tehlikeye atmadan hemen önce yükseltilmesi şiddetle tavsiye edilir.
GÜNCELLEME 4/21/25: CouchDB'nin bu kusura karşı savunmasız olmadığını açıklamak için güncellendi.
Kritik Erlang/OTP SSH Pre-auth RCE'nin sömürülmesi 'şaşırtıcı derecede kolay', şimdi yama
Aktif! Japon kuruluşlarına yönelik saldırılarda istismar edilen mail rce kusuru
Asus, AICLOUD kullanarak yönlendiricilerde kritik kimlik bypass kusurunu uyarıyor
Hükümetlere yönelik kimlik avı saldırılarında sömürülen Windows NTLM karma sızıntı kusuru
Apple, hedeflenen iPhone saldırılarında sömürülen iki sıfır günü düzeltiyor
Kaynak: Bleeping Computer