Спеціалісти з кібербезпеки компанії Cisco розпочали масштабне розслідування наслідків критичної вразливості CVE-2025-32433, виявленої в системі Erlang/OTP. Вразливість отримала максимальний показник небезпеки – 10 балів за шкалою CVSS, що свідчить про її надзвичайну серйозність. Експлуатація цієї вразливості дозволяє зловмисникам виконувати довільний код на вразливих пристроях без проходження автентифікації.
Технічний аналіз вразливості
Дослідники з Рурського університету в Бохумі виявили критичний недолік в механізмі обробки повідомлень протоколу попередньої автентифікації SSH-демона Erlang/OTP. Вразливість дозволяє атакуючим надсилати команди до завершення процесу автентифікації, що особливо небезпечно, коли SSH-демон працює з правами суперкористувача (root). Експерти підкреслюють, що механізм експлуатації вразливості є відносно простим, а в мережі вже з’явились proof-of-concept експлойти.
Вплив на продукти Cisco
На даний момент підтверджено вразливість наступних продуктів Cisco:
- ConfD – система управління конфігураціями
- Network Services Orchestrator (NSO) – оркестратор мережевих сервісів
- Smart PHY – система управління фізичним рівнем мережі
- Intelligent Node Manager – менеджер мережевих вузлів
- Ultra Cloud Core – хмарна інфраструктура
Масштаб загрози та потенційні наслідки
За статистикою Cisco, близько 90% інтернет-трафіку проходить через вузли, що використовують Erlang. Це означає, що потенційний масштаб загрози є глобальним. Успішна експлуатація вразливості може призвести до повної компрометації систем, витоку конфіденційних даних та порушення роботи критичної мережевої інфраструктури.
Рекомендації щодо усунення вразливості
Для захисту від CVE-2025-32433 необхідно оновити системи до наступних версій:
- OTP-27.3.3
- OTP-26.2.5.11
- OTP-25.3.2.20
Cisco планує випустити оновлення безпеки для вразливих продуктів у травні 2025 року. Важливо зазначити, що хоча ConfD та NSO містять вразливий код, їх конфігурація запобігає віддаленому виконанню коду. Організаціям, що використовують продукти на базі Erlang/OTP, наполегливо рекомендується налаштувати автоматичне оновлення систем безпеки та впроваджувати багаторівневий захист мережевої інфраструктури.