Egy kevéssé ismert, de számos modern digitális infrastruktúra alapját képező szoftverkomponens, az Erlang/OTP SSH kritikus sérülékenysége került beazonosításra. A CVE-2025-32433 jelzésű sérülékenység 12 az SSH szolgáltatás azon hibájának kihasználását teszi lehetővé, hogy támadók hitelesítés nélkül, közvetlenül hajtsanak végre tetszőleges kódfuttatást a célrendszeren, ami akár teljes körű rendszerkompromittáláshoz is vezethet. A hiba kihasználása egyszerű: a támadónak mindössze hálózati hozzáférésre van szüksége az érintett SSH porthoz, nincs szükség hitelesítésre, speciális környezetre vagy felhasználói interakcióra.

Az Erlang széles körben használt hálózati berendezésekben, amelyek az internet gerinchálózatát alkotják. Az SSH protokoll ezekben a rendszerekben gyakran a vezérlési síkhoz való biztonságos hozzáférésre szolgál, amely számos eszköz irányítását végzi. Ez a beszállítói láncban meglévő kockázat kiterjedhet ipari irányító rendszerekre (ICS) és egyéb működést biztosító technológiákra (OT) is – például útválasztókra, switchekre és intelligens szenzorokra. A Cisco becslése szerint 2018-ban az internetes forgalom 90%-a Erlanggal vezérelt csomópontokon haladt keresztül.3

A Shodan adatai szerint világszerte több mint 600 000 olyan nyilvánosan elérhető rendszer található jelenleg, amely valamilyen módon Erlang/OTP környezetet futtat. Ezek közül azonban csak egy kisebb rész használja ténylegesen az érintett OTP SSH szervert – tehát a valóban sebezhető rendszerek száma ennél jóval kevesebb lehet.

A sebezhetőség jelentős kockázatot hordoz azoknál a rendszereknél, amelyek üzletileg kritikus szolgáltatásokért felelősek – például provisioning rendszerek, IoT back-endek, vagy üzenetsor-kezelők (pl. RabbitMQ). Az érintett komponens gyakran rejtve van jelen olyan platformokban, amelyeket nem feltétlenül tekintenek elsődleges célpontnak – így a fenyegetés láthatatlanul, de súlyosan érintheti a szervezet működését.

A sérülékenységet már aktívan figyelik kínai APT csoportok is, például a Volt Typhoon és a Salt Typhoon, amelyek korábban kritikus infrastruktúrákat és távközlési szektort támadtak.

Súlyosság: Kritikus (CVSS 3.1: 10.0 – forrás: NVD)

Ajánlás: Az érintett rendszerek frissítése haladéktalanul szükséges. Mivel az Erlang/OTP gyakran más szoftvercsomagok (pl. RabbitMQ, MongooseIM) részeként van jelen, olyan rendszerek is érintettek lehetnek, ahol az Erlang használata elsőre nem egyértelmű. Ezért minden olyan infrastruktúrát érdemes ellenőrizni, ahol SSH szolgáltatás fut, különösen ha az említett komponensek bármelyike jelen van.