Eine kritische Sicherheitslücke in der Erlang/OTP-Plattform alarmiert Cybersecurity-Experten weltweit. Die als CVE-2025-32433 klassifizierte Schwachstelle erhielt die höchstmögliche CVSS-Bewertung von 10.0 und ermöglicht unauthentifizierte Remote Code Execution (RCE) auf betroffenen Systemen. Cisco hat eine umfassende Untersuchung eingeleitet, da zahlreiche ihrer Kernprodukte betroffen sind.
Technische Analyse der Sicherheitslücke
Forscher der Ruhr-Universität Bochum identifizierten einen schwerwiegenden Fehler im SSH-Daemon von Erlang/OTP. Die Schwachstelle liegt in der Pre-Authentication-Phase des SSH-Protokolls, wodurch Angreifer ohne vorherige Authentifizierung Befehle ausführen können. Besonders kritisch ist dies bei SSH-Daemons, die mit Root-Privilegien laufen, da hier eine vollständige Systemübernahme möglich ist.
Betroffene Systeme und Infrastruktur
Die Verwundbarkeit betrifft mehrere geschäftskritische Cisco-Produkte, darunter ConfD, Network Services Orchestrator (NSO), Smart PHY, Intelligent Node Manager und Ultra Cloud Core. Etwa 90% des globalen Internet-Traffics fließen durch Systeme, die Erlang nutzen, was die potenzielle Tragweite dieser Sicherheitslücke unterstreicht.
Risikobewertung und Exploit-Status
Sicherheitsexperten stufen die Ausnutzung der Schwachstelle als technisch unkompliziert ein. Das Auftauchen erster Proof-of-Concept Exploits im Internet erhöht die Dringlichkeit von Gegenmaßnahmen erheblich. Die weite Verbreitung von Erlang in kritischer Netzwerkinfrastruktur macht diese Schwachstelle besonders besorgniserregend.
Verfügbare Sicherheitsupdates und Empfehlungen
Zur Absicherung betroffener Systeme wurden folgende Erlang/OTP-Versionen freigegeben:
- OTP-27.3.3
- OTP-26.2.5.11
- OTP-25.3.2.20
Während Cisco plant, entsprechende Patches im Mai 2025 bereitzustellen, sollten Organisationen umgehend ihre Systeme aktualisieren und zusätzliche Sicherheitsmaßnahmen implementieren. Obwohl einige Produkte wie ConfD und NSO durch ihre spezifische Konfiguration vor RCE-Angriffen geschützt sind, wird eine zeitnahe Aktualisierung aller Erlang/OTP-basierten Systeme dringend empfohlen. Regelmäßiges Monitoring auf verdächtige SSH-Aktivitäten und die Implementierung zusätzlicher Sicherheitsbarrieren sind bis zur vollständigen Patches-Verfügbarkeit essentiell.
