Erlang/OTP SSH RCE漏洞正被积极利用攻击OT网络
漏洞概述
一项被标记为CVE-2025-32433(CVSS评分10.0)的严重漏洞存在于Erlang编程语言Open Telecom Platform(OTP)的安全外壳(SSH)守护进程中。该漏洞允许攻击者向开放的SSH端口发送代码大于等于80的SSH连接协议消息(这些消息本应在成功认证后处理),从而实现未认证远程代码执行(RCE)。
影响范围
影响以下Erlang/OTP版本:
- OTP-27.3.3之前版本
- OTP-26.2.5.11之前版本
- OTP-25.3.2.20之前版本
该漏洞对关键基础设施和运营技术(OT)网络构成重大风险,这些系统通常部署Erlang/OTP以实现并发系统中的容错和可扩展特性。
技术细节
OTP中的原生SSH实现广泛用于电信、金融系统和5G环境,支持加密连接、文件传输和命令执行。该漏洞通过不当的状态强制实施,为攻击者提供了无需凭证即可执行任意代码的直接途径。
2025年4月的全球扫描数据显示,互联网上共有275台独立主机暴露了326个易受攻击的Erlang/OTP SSH服务,这些服务通常运行在TCP 2222等非标准端口上,与工业自动化中的EtherNet/IP隐式消息传递端口重叠,模糊了IT和OT攻击面的界限。
攻击态势
根据Unit42报告,针对CVE-2025-32433的利用尝试在2025年5月1日至9日期间激增,遥测数据显示存在野外攻击活动,包括建立未授权远程访问的反向shell载荷。
观察到的攻击载荷包括:
- 利用文件描述符创建绑定到交互式shell的TCP连接
- 将Bash输入/输出重定向到146.103.40.203等远程主机的6667端口(通常与僵尸网络C&C关联)
进一步分析发现基于DNS的指标,如对dns.outbound.watchtowr.com随机子域的gethostbyname调用,表明攻击者使用带外应用安全测试(OAST)进行盲RCE验证和数据窃取。
受影响行业
地理分布显示美国、巴西和法国的暴露服务最多,全球共触发3,376次漏洞利用特征,其中70%源自OT网络防火墙。日本(99.74% OT关联)、美国(71.15%)以及荷兰、巴西等国显示出较高的OT影响。
受攻击最严重的行业包括:
- 医疗保健
- 农业
- 媒体娱乐
- 高科技
- 教育(占OT环境下触发总数的88.4%)
缓解措施
建议组织立即升级到以下已修复版本:
- OTP-27.3.3
- OTP-26.2.5.11
- OTP-25.3.2.20或更高版本
临时措施包括:
- 禁用SSH服务器
- 实施防火墙规则限制可信源访问
入侵指标(IOC)
| 指标 | 类型 | 描述 |
|---|---|---|
| dns.outbound.watchtowr.com | 域名 | 用于漏洞载荷中的DNS查询以实现OAST和盲RCE验证 |
| 194.165.16.71 | IP地址 | 与攻击基础设施关联 |
| 146.103.40.203 | IP地址 | 反向shell重定向目标,与僵尸网络通信关联 |