ISGroup Consultoría de Ciberseguridad

CVE-2025-32433: Vulnerabilidad crítica de RCE pre-autenticación en el servidor SSH de Erlang/OTP

Se ha descubierto una vulnerabilidad crítica en el componente de servidor SSH de Erlang/OTP, una tecnología ampliamente utilizada en infraestructuras de telecomunicaciones, sistemas distribuidos y plataformas en tiempo real. A la falla se le ha asignado una puntuación CVSS de 10, lo que refleja tanto la facilidad de explotación como el grave impacto que puede tener en las instalaciones afectadas.

Fecha2025-04-21 12:48:15
Información
  • En tendencia
  • Corrección disponible

Resumen técnico

El problema reside en la forma en que el demonio SSH integrado de Erlang/OTP procesa determinados mensajes de protocolo antes de completar el protocolo de enlace (handshake) de autenticación. Al enviar paquetes especialmente diseñados SSH_MSG_CHANNEL_OPEN y SSH_MSG_CHANNEL_REQUEST inmediatamente después de establecer la conexión TCP, un usuario no autenticado puede provocar la ejecución de código Erlang arbitrario en el servidor.

Puntos técnicos clave:

  • Gestión de canales pre-autenticación: El servidor SSH acepta y procesa erróneamente mensajes relacionados con los canales antes de verificar las credenciales del usuario.

  • Ejecución remota de código: Los payloads maliciosos pueden invocar cualquier función de Erlang, por ejemplo, escribir en el sistema de archivos o iniciar procesos de shell.

  • Compromiso total: El exploit no requiere una cuenta de usuario válida ni estado de sesión, lo que permite la toma de control completa del sistema, el robo de datos o movimientos laterales.

Recomendaciones

  1. Actualización inmediata
  • Usuarios de Erlang/OTP 27: actualizar a OTP‑27.3.3
  • Usuarios de Erlang/OTP 26: actualizar a OTP‑26.2.5.11
  • Usuarios de Erlang/OTP 25: actualizar a OTP‑25.3.2.20
  1. Mitigación temporal
  • Deshabilitar el componente de servidor SSH de Erlang si no es necesario.
  • En caso contrario, limitar el acceso mediante reglas de firewall solo a IPs de confianza o redes VPN.
  1. Reforzar el perímetro de red
  • Aplicar controles de acceso SSH a nivel de red (ej. firewall basado en host, grupos de seguridad).
  • Monitorear posibles paquetes de canal pre-autenticación inesperados en los sistemas IDS/IPS.
  1. Potenciar el monitoreo y la auditoría
  • Activar el registro (logging) SSH en modo detallado (verbose) para capturar aperturas de canales y solicitudes exec anticipadas.
  • Activar alertas ante patrones de tráfico SSH anómalos o anticipados.

[Callforaction-THREAT-Footer]

In