Une vulnérabilité RCE maximale dans le démon SSH d’Erlang, CVE-2025-32433, a été activement exploitée dans les réseaux OT dans six pays, ciblant les pare-feu dans les secteurs d’infrastructure critiques.
Un problème d’exécution du code distant (RCE) de la sévérité maximale affectant le démon SSH (SSHD) de la plate-forme de télécommunications ouverts d’Erlang (OTP) a été exploité par les attaquants dans la nature, quelques jours après la publication d’un patch en avril 2025.
Selon l’unité 42, les attaquants ont commencé à exploiter le défaut, suivi comme CVE-2025-32433, en tant que vulnérabilité du jour dans le n-days entre le 1er mai au 9 mai 2025, la plupart des activités ciblant les pare-feu de technologie opérationnelle (OT).
Développé par Ericsson, Erlang est un langage de programmation fonctionnel et open source conçu pour les systèmes évolutifs et tolérants aux pannes, et son cadre OTP offre des fonctionnalités de concursation et d’auto-guérison pour des environnements à haute disponibilité, y compris des télécommunications, des plates-formes de messagerie et des systèmes de contrôle industriel.
«Les environnements OT et 5G utilisent Erlang / OTP en raison de sa tolérance aux pannes et de son évolutivité pour les systèmes de haute disponibilité avec un temps d’arrêt minimal», a déclaré les chercheurs de l’unité42 dans un article de blog. «En raison des exigences de conformité et de sécurité, les administrateurs OT et 5G ont tendance à utiliser l’implémentation SSH native d’Erlang / OTP pour gérer à distance les hôtes, ce qui fait du CVE-2025-32433 une préoccupation particulière dans ces types de réseaux.»
OT Networks in the Crosshairs
Erlang / OTP a une présence plus large dans les systèmes de contrôle industriel, en particulier dans les appareils intégrés, les équipements de mise en réseau et le middleware qui le pont et les réseaux OT.
L’unité 42 a observé qu’environ 70% des tentatives d’exploitation ont frappé les pare-feu, beaucoup déployés dans des secteurs tels que les soins de santé, l’agriculture, les médias et la fabrication de haute technologie. Entre le 16 avril et le 9 mai 2025, leurs scans Cortex XPANSE ont détecté 275 hôtes distincts et 326 services vulnérables Erlang / OTP exposés à Internet public.
Géographiquement, l’empreinte d’exploitation a duré le Japon, les États-Unis, les Pays-Bas, l’Irlande, le Brésil et l’Équateur, certaines régions voyant 100% des attaques détectées ciblant les environnements OT.
«Le véritable danger avec CVE-2025-32433 est qu’il ne s’agit pas seulement d’une vulnérabilité informatique: il affecte de manière disproportionnée les réseaux de technologie opérationnelle (OT), et il apparaît déjà activement dans les systèmes liés à l’infrastructure critique», a déclaré April Lenhard, directeur principal chez Qualys. «La plupart des compromis connus impliquent des actifs OT qui contrôlent les processus physiques comme la robotique, les pompes, les vannes ou même les systèmes de sécurité. L’exploitation pourrait modifier les lectures des capteurs, déclencher des pannes, introduire des risques de sécurité et causer des dommages physiques.»
La logique ssh impartie a conduit à RCE
La racine du problème réside dans le démon SSH d’Erlang / OTP qui traite de manière incorrecte certains messages de protocole Secred Shell (SSH), comme ‘SSH_MSG_CHANNEL_OPEN’ et ‘SSH_MSG_CHANNEL_REQUEST’, avant la fin de l’authentification. Dans des conditions normales, ces messages doivent être rejetés jusqu’à ce que les informations d’identification valides soient confirmées. Au lieu de cela, le serveur SSH d’OTP les traite comme légitimes, permettant l’exécution de code distant non authentifiée.
Cette surveillance dans la logique SSH a permis aux attaquants distants d’exécuter du code arbitraire sans utiliser de mot de passe. Les acteurs de la menace peuvent potentiellement utiliser le piratage RCE pour les attaques conduisant à la divulgation d’informations sensibles, à l’ajout ou à la modification des données et au déni de service (DOS), selon un avis NetApp.
«Cette vulnérabilité, si elle est exploitée, pourrait avoir de graves conséquences sur l’organisation, leur réseau et leurs opérations», a déclaré Thomas Richards, directeur des pratiques de sécurité des infrastructures chez Blackduck. «L’attaquant aurait un contrôle total sur le système, ce qui peut entraîner un compromis d’informations sensibles et leur permettre de compromettre des hôtes supplémentaires au sein du réseau. Il permettrait également à un attaquant de perturber les opérations de tout système connecté.»
Pour les infrastructures critiques, les enjeux sont encore plus élevés, car les perturbations pourraient affecter de vastes segments du public, a-t-il ajouté.
Le code de preuve de concept public (POC) est apparu les choses, est apparue rapidement après la divulgation, garantissant que les acteurs de menace encore moins qualifiés pourraient armé le bug. Bien que la vulnérabilité ait affecté un sous-ensemble de déploiements Erlang, son impact a été amplifié dans les systèmes où l’exposition aux SSH faisait partie des services critiques. La vulnérabilité a affecté les versions avant les mises à niveau fixes OTP-27.3.3, OTP-26.2.5.11 et OTP-24.3.2.20.
