4月中旬に存在が明らかになったErlang/OTPの脆弱性が実際に悪用されており、多くの攻撃が運用技術(OT)ネットワークを標的にしているとみられます。
Erlang/OTPは、銀行、電子商取引、通信アプリケーションなど、高可用性が求められるリアルタイムシステムの構築のために設計されたライブラリ、ミドルウェア、その他のツールのコレクションです。
研究者らは、Erlang/OTPのSSH実装に重大な脆弱性が存在することを発見しました。この脆弱性により、SSHデーモンのコンテキストで任意のコードが実行可能となり、攻撃者がホストへの完全なアクセス権を得て、機密データへの不正アクセスや操作が可能になる恐れがあります。
CVE-2025-32433として追跡されているこの脆弱性は、Erlang/OTP SSHライブラリを利用している未修正のSSHサーバーすべてに影響し、特にリモートアクセス用のシステムがリスクにさらされています。
このセキュリティホールは、OTP-27.3.3、OTP-26.2.5.11、OTP-25.3.2.20のリリースで修正されています。それ以前のバージョンは影響を受けます。
サイバーセキュリティ機関CISAは、6月9日にCVE-2025-32433を既知の悪用された脆弱性カタログに追加しましたが、これまでこの脆弱性の悪用を説明する公的な報告はありませんでした。
しかし月曜日、Palo Alto Networksは悪用の試みを詳述したブログ記事を公開し、同社が5月1日以降に確認した事例について報告しました。
Palo Alto Networksによると、5月1日から9日にかけて悪用活動が急増し、同社が観測した攻撃の70%がOTネットワークを標的にしていました。検出の大半はアメリカ国内で確認されました。
広告。スクロールして続きをお読みください。
「OTや5G環境では、最小限のダウンタイムで高可用性を実現するための耐障害性とスケーラビリティを理由にErlang/OTPが利用されています」と同社は説明しています。「コンプライアンスや安全性の要件から、OTや5Gの管理者はErlang/OTPのネイティブSSH実装を使ってホストをリモート管理する傾向があり、これがCVE-2025-32433がこれらのネットワークで特に懸念される理由です。」
Palo Alto Networksは、Erlang/OTPのSSHサービスがインターネット上でさまざまなポートを通じて公開されていることを確認しており、その中には古い産業用オートメーション製品でよく使われるTCPポート2222も含まれています。
同社のファイアウォールによるデータ収集では、悪用の試みの85%が医療、農業、メディア・エンターテインメント、ハイテク分野を標的にしていました。
「OTへの依存度が高いにもかかわらず、公益事業・エネルギー、鉱業、航空宇宙・防衛分野では、この特定の脅威に対する直接的なOTのトリガーは見られませんでした」とPalo Altoは述べています。「専門・法務サービスなどの分野では主にITネットワークでトリガーが確認されました。製造、卸売・小売、金融サービスなどの業界では、ITとOTの両方でバランスよく検出されており、統合的な防御が必要です。」
同社は、攻撃者がCVE-2025-32433の悪用を通じて配信しようとした複数の悪意あるペイロードを特定しており、その中には不正なリモートアクセスを可能にするリバースシェルも含まれていました。
一部のケースでは、研究者がボットネット通信に使われるサーバーでよく使用されるポートを持つリモートホストの利用を確認しました。
Palo Altoによるスキャンでは、産業ネットワーク上に存在する数百のErlang/OTPサービスが公開され、攻撃に対して脆弱であることが示されました。