今すぐパッチを適用：攻撃者が重大なRCE脆弱性を利用しOTネットワークを標的に

出典：Jochen Tack（Alamy Stock Photo経由）

攻撃者は、重要インフラやOT開発で利用される人気のErlangライブラリに存在する重大なリモートコード実行（RCE）脆弱性を通じて、運用技術（OT）ネットワークを標的にしています。

この脆弱性により、認証されていないユーザーが、パッチ未適用のErlangプログラミング言語のOpen Telecom Platform（OTP）のバージョンを悪用して、これらのネットワークへ不正アクセスすることが可能になります。Palo Alto NetworksのUnit 42の研究者は、この脆弱性（CVE-2025-32433、CVSSスコア10.0）を利用した攻撃が5月1日から始まっていることを、今週のブログ記事で明らかにしました。

この脆弱性は「認証されていないクライアントが、SSH接続プロトコルメッセージ（コード>=80）を開いているSSHポートに送信することでコマンドを実行できてしまうものであり、本来は認証が成功した後にのみ処理されるべきです」とUnit 42の研究者は投稿で説明しています。

Erlang/OTPはErlangプログラミング言語用のライブラリ群であり、重要インフラやOTネットワークで広く利用されています、と研究者は述べています。この脆弱性は、Erlang/OTPのSSHデーモンにおける不適切な状態管理が原因で、認証されていないRCEが可能になる可能性があります。

「認証完了前に認証後のメッセージを拒否しないことが、実際に悪用されている重大な攻撃対象領域を生み出しています」と研究者は記しています。

脆弱なバージョンはOTP-27.3.3、OTP-26.2.5.11、OTP-25.3.2.20より前のErlang/OTPです。修正パッチはOTP-27.3.3、OTP-26.2.5.11、OTP-25.3.2.20およびそれ以降のバージョンで提供されています。

攻撃の主体・場所・手口

Unit 42のテレメトリーによると、CVE-2025-32433の「複数業界にわたる」積極的な悪用試行が確認されており、攻撃者は主にリバースシェルを利用してOTネットワークに不正なリモートアクセスを得るなど、複数の悪意あるペイロードを配信しています。攻撃開始以降、これまでに世界中で3,376件のCVE-2025-32433シグネチャが検知されており、そのうち2,363件（約70％）はOTネットワークを保護するファイアウォールから発信されたものです。

研究者によれば、「特に影響を受けている」業界には、ヘルスケア、農業、メディア・エンターテインメント、ハイテク産業が含まれます。

「このことは、OTリスクが産業用制御システムや製造業に限定されるという従来の見方に疑問を投げかけます」と研究者は記しています。「同時に、以下のOT集約型分野（公益・エネルギー、鉱業・航空宇宙、防衛）で検知がないからといって安全と解釈すべきではありません。」

Unit 42が観測した攻撃フローの一例では、攻撃者がファイルディスクリプタを使ってTCP接続を作成し、それをシェルにバインドすることで、ネットワーク越しに対話型コマンド実行を可能にしていました。別の事例では、攻撃者がBashの対話モードを使ってリバースシェルを開始し、シェルの入出力を146.103.40[.]203:6667というリモートホストに直接リダイレクトしていました。このポートはボットネット通信に使われるリモートコントロールサーバーと関連しています。

悪用試行は主に米国で発生していますが、他の大陸にも広がっており、日本、オランダ、アイルランド、ブラジル、エクアドル、フランスが各地域でOTネットワークへの影響が最も大きかったとされています。

悪用された場合のOTへの深刻な影響

Black Duck（アプリケーションセキュリティプロバイダー）のインフラセキュリティ実践ディレクターであるトーマス・リチャーズ氏は、「この脆弱性が悪用された場合、組織やそのネットワーク、業務に深刻な影響を及ぼす可能性がある」と警告し、「OTネットワークを担当するすべてのセキュリティチームにとって最優先で対処すべき課題」だと述べています。

「攻撃者はシステムを完全に制御できるようになり、機密情報の漏洩やネットワーク内の他のホストへの侵害が発生する可能性があります」と同氏は声明で述べています。「また、接続されたシステムの運用を妨害することも可能です。」

重要インフラの管理者にとって、この脆弱性は特に懸念されるものであり、攻撃が成功した場合、「広範な住民に悪影響を及ぼす可能性がある」とリチャーズ氏は付け加えています。Dragos社の最新調査によれば、深刻なOTインシデントによる経済的損失は3,000億ドルを超える可能性も示されています。

さらに、攻撃ペイロードの急増は、脅威アクターがこの脆弱性を積極的なキャンペーンで迅速に採用していることを示しており、Unit 42は「特に上記で挙げた業界や地域の組織において、防御強化の緊急性が高まっている」と指摘しています。

最も明白な対策であるパッチ適用に加え、Unit 42によれば、OTや重要インフラ運用者は、侵入防止システムを最新シグネチャに更新し、侵害の兆候がないか環境を厳重に監視することで、ネットワークの安全性を高めることができます。

また、すぐにパッチを適用できない場合の一時的な回避策としては、SSHサーバーを無効化するか、ファイアウォールルールで信頼できるソースからのアクセスのみに制限する方法があると研究者は付け加えています。