CVE‑2025‑32433: Vulnerabilità critica di RCE pre-autenticazione nel server SSH di Erlang/OTP

Una vulnerabilità critica è stata scoperta nel componente server SSH di Erlang/OTP, una tecnologia ampiamente utilizzata nelle infrastrutture di telecomunicazioni, nei sistemi distribuiti e nelle piattaforme in tempo reale. La falla è stata assegnata un punteggio CVSS di 10, riflettendo sia la facilità di sfruttamento sia l’impatto grave che può avere sulle installazioni colpite.

Data 2025-04-21 12:48:15
Informazioni Trending, Fix Available

Riassunto tecnico

Il problema risiede nel modo in cui il demone SSH integrato di Erlang/OTP elabora determinati messaggi di protocollo prima di completare l’handshake di autenticazione. Inviando pacchetti appositamente predisposti SSH_MSG_CHANNEL_OPEN e SSH_MSG_CHANNEL_REQUEST immediatamente dopo l’instaurazione della connessione TCP, un utente non autenticato può provocare l’esecuzione sul server di codice Erlang arbitrario.

Punti tecnici chiave:

  • Gestione dei canali pre-autenticazione: Il server SSH accetta ed elabora erroneamente messaggi relativi ai canali prima di verificare le credenziali dell’utente.

  • Esecuzione di codice remoto: Payload malevoli possono invocare qualunque funzione Erlang, ad esempio scrivere sul filesystem o avviare processi shell.

  • Compromissione totale: L’exploit non richiede un account utente valido né stato di sessione, consentendo la compromissione completa del sistema, il furto di dati o spostamenti laterali.

Raccomandazioni

  1. Aggiornamento immediato
  • Utenti di Erlang/OTP 27: aggiornare a OTP‑27.3.3
  • Utenti di Erlang/OTP 26: aggiornare a OTP‑26.2.5.11
  • Utenti di Erlang/OTP 25: aggiornare a OTP‑25.3.2.20
  1. Mitigazione temporanea
  • Disabilitare il componente server SSH di Erlang se non necessario.
  • In caso contrario, limitare l’accesso tramite regole firewall a soli IP attendibili o reti VPN.
  1. Rafforzare il perimetro di rete
  • Applicare controlli di accesso SSH a livello di rete (es. firewall host-based, security group).
  • Monitorare eventuali pacchetti di canale pre-autenticazione inattesi nei sistemi IDS/IPS.
  1. Potenziare monitoraggio e auditing
  • Attivare il logging SSH in modalità verbose per catturare aperture di canale e richieste exec anticipate.
  • Innescare allarmi su pattern di traffico SSH anomalo o anticipato.

Vuoi garantire la massima sicurezza informatica alla tua azienda? ISGroup SRL è qui per aiutarti con soluzioni di cyber security su misura per la tua azienda.

Vuoi che gestiamo tutto noi per te? Il servizi di Virtual CISO e di gestione delle vulnerabilità sono perfetti per la tua organizzazione.

Hai già le idee chiare su quello che ti serve? Esplora i nostri servizi di:

E molto altro. Proteggi la tua azienda con i migliori esperti di cybersecurity!

In