ErlangのOpen Telecom Platform(OTP)Secure Shellデーモン(sshd)に存在する深刻なリモートコード実行(RCE)の脆弱性が、現在積極的に悪用されています。
Palo AltoのUnit 42による新たな分析によれば、CVSSスコア10.0と評価されたCVE-2025-32433は、認証前に特定のSSHメッセージを送信することで、認証されていない攻撃者がコマンドを実行できるようにします。
影響を受けるバージョンには、OTP-27.3.3、OTP-26.2.5.11、OTP-25.3.2.20より前のErlang/OTPリリースが含まれます。
標的型攻撃の急増
研究者らは5月1日から5月9日の間に悪用試行の急増を観測し、検知の70%が運用技術(OT)ネットワークを保護するファイアウォールから発生していました。
多くの標的業界は、リモート管理のためにErlang/OTPのネイティブSSHに依存しており、医療、農業、メディア・エンターテインメント、高度技術分野が含まれます。
「この脆弱性が悪用された場合、組織、そのネットワークや業務に深刻な影響を及ぼす可能性があります」とBlack Duckのインフラセキュリティ実践ディレクター、トーマス・リチャーズ氏は述べています。
「攻撃者はシステムを完全に制御できるようになり、機密情報の漏洩や、ネットワーク内の他のホストへの侵害につながる恐れがあります。」
Erlang/OTPサービスはインターネット上で広く公開されていることが判明しており、時にはTCP 2222のような産業用ポートを介して公開されていることもあり、ITと産業制御システム間のクロスオーバーリスクを生み出しています。米国、ブラジル、フランスが最も多くの公開サービスをホストしています。
運用技術セキュリティの詳細はこちら:半数以上の組織が深刻なOTセキュリティインシデントを報告
悪用の詳細と対策
攻撃者は不正アクセスのためにリバースシェルを確立するペイロードを展開していることが観測されています。
一つの手法はシェルをTCP接続にバインドし、もう一つはBashの入力・出力をボットネットのコマンドサーバーに接続されたリモートホストにリダイレクトします。一部のペイロードはDNSコールバックを利用して、結果を返さずに実行を追跡する手法もあり、これはステルス性の高いキャンペーンでよく使われます。
「CVE-2025-32433の本当の危険性は、単なるITの脆弱性ではなく、[OT]ネットワークに不均衡に影響を与えており、すでに重要インフラに関連するシステムで積極的に確認されていることです」とQualysのプリンシパルプロダクトマネージャー、エイプリル・レンハード氏は述べています。
レンハード氏によれば、悪用されると「センサーの読み取り値が改ざんされたり、障害が発生したり、安全上のリスクや物理的な損害を引き起こす可能性があります。」
教育分野が全検知の72.7%を占めていましたが、ユーティリティ、鉱業、航空宇宙などOT依存度の高い分野ではOTトリガーが記録されていませんでした。これはセグメンテーション、標的化の遅延、または検知のギャップが原因と考えられます。
研究者らは、OTP 27.3.3、OTP 26.2.5.11、OTP 25.3.2.20へのアップグレードによる即時のパッチ適用を組織に強く推奨しています。一時的な対策としては、SSHサーバーの無効化やファイアウォールルールによるアクセス制限が挙げられます。
「この脆弱性への対応は、OTネットワークを担当するセキュリティチームにとって最優先事項であるべきです」とリチャーズ氏は結論付けています。
翻訳元: https://www.infosecurity-magazine.com/news/erlangotp-ssh-flaw-sees/