В Erlang/OTP виявлено критичну вразливість CVE-2025-32433, яка дає змогу віддалено і без автентифікації виконувати довільний код на вразливих пристроях.

Дефект виявили фахівці з Рурського університету в Бохумі (Німеччина), він набрав максимальні 10 балів із 10 можливих за шкалою оцінки вразливостей CVSS.

Проблема зачіпає всі пристрої, на яких працює SSH-демон Erlang/OTP, і для її усунення рекомендується якомога швидше оновитися до версій OTP-27.3.3, OTP-26.2.5.11 і OTP-25.3.2.20.

Erlang/OTP (Open Telecom Platform, OTP) – це фреймворк, який містить набір бібліотек, шаблонів проєктування для побудови масштабованих розподілених застосунків мовою Erlang та інструментів, зокрема й такі компоненти, як SSH-додаток для віддаленого доступу.

CVE-2025-32433 пов’язана з некоректним опрацюванням деяких повідомлень протоколу попередньої автентифікації в демоні SSH, що надається SSH-додатком Erlang/OTP.

«Проблема пов’язана з недоліком під час обробки SSH-повідомлень, через що зловмисник отримує можливість надсилати повідомлення до проходження аутентифікації», – пояснюється у списку розсилки Openwall.

Будь-які команди, що виконуються за допомогою цієї уразливості, запускатимуться з тими самими привілеями, що й демон SSH. У багатьох випадках демон працює під root, а отже, зловмисники зможуть повністю скомпрометувати систему.

Дослідники з команди Horizon3 повідомляють, що їм уже вдалося відтворити вразливість і знайти «напрочуд простий» спосіб її експлуатації. Експерти продемонстрували PoC-експлоїт, який записує файл від імені root у вразливих системах. Вони підкреслюють, що публічні PoC-експлоїти напевно з’являться зовсім скоро, а слідом почнуться атаки на CVE-2025-32433.

Експерти рекомендують організаціям якомога швидше оновитися до виправлених версій, поки PoC не стали загальнодоступними, і вразливість не почала застосовуватися в масових атаках. Якщо встановлення патчів з якихось причин неможливе, рекомендується обмежити доступ до SSH тільки довіреними IP-адресами або тимчасово відключити демон SSH зовсім.