Investigadores de ciberseguridad de la Universidad del Ruhr en Bochum han descubierto una vulnerabilidad crítica en la plataforma Erlang/OTP, identificada como CVE-2025-32433. Esta falla de seguridad, que ha recibido la máxima puntuación de 10.0 en la escala CVSS, permite a atacantes ejecutar código arbitrario de forma remota sin necesidad de autenticación, representando una amenaza significativa para sistemas empresariales.

Análisis Técnico de la Vulnerabilidad

La vulnerabilidad se localiza específicamente en el componente SSH de Erlang/OTP, un framework ampliamente utilizado para el desarrollo de aplicaciones distribuidas. El fallo reside en el manejo inadecuado de mensajes durante la fase de pre-autenticación del protocolo SSH, permitiendo a atacantes inyectar comandos maliciosos antes de completar el proceso de autenticación. Esta característica hace que la explotación de la vulnerabilidad sea particularmente sencilla.

Impacto y Riesgos de Seguridad

La gravedad de esta vulnerabilidad se amplifica debido a que el código malicioso ejecutado hereda los privilegios del demonio SSH, que típicamente opera con permisos de root. Los investigadores del equipo Horizon3 han confirmado la viabilidad de la explotación mediante la creación de un proof-of-concept funcional, demostrando el potencial de compromiso total del sistema afectado.

Medidas de Mitigación y Actualizaciones

Para proteger los sistemas contra esta vulnerabilidad, los administradores deben actualizar inmediatamente a las siguientes versiones de Erlang/OTP:

– OTP-27.3.3
– OTP-26.2.5.11
– OTP-25.3.2.20

En situaciones donde la actualización inmediata no sea viable, se recomienda implementar medidas de mitigación temporales, incluyendo la restricción del acceso SSH exclusivamente a direcciones IP confiables o la desactivación temporal del servicio SSH. Considerando la facilidad de explotación y la probable aparición de exploits públicos, es crucial implementar estas medidas de seguridad con máxima prioridad para prevenir posibles compromisos de sistemas.