ISGroup Cybersicherheitsberatung

CVE‑2025‑32433: Kritische Pre-Authentifizierungs-RCE-Schwachstelle im Erlang/OTP SSH-Server

Eine kritische Schwachstelle wurde in der SSH-Server-Komponente von Erlang/OTP entdeckt, einer Technologie, die in der Telekommunikationsinfrastruktur, in verteilten Systemen und in Echtzeitplattformen weit verbreitet ist. Der Sicherheitslücke wurde ein CVSS-Wert von 10 zugewiesen, was sowohl die einfache Ausnutzbarkeit als auch die schwerwiegenden Auswirkungen auf betroffene Installationen widerspiegelt.

Datum21.04.2025 12:48:15
Informationen
  • Trending
  • Fix verfügbar

Technische Zusammenfassung

Das Problem liegt in der Art und Weise, wie der integrierte SSH-Daemon von Erlang/OTP bestimmte Protokollnachrichten verarbeitet, bevor der Authentifizierungs-Handshake abgeschlossen ist. Durch das Senden speziell präparierter SSH_MSG_CHANNEL_OPEN– und SSH_MSG_CHANNEL_REQUEST-Pakete unmittelbar nach dem Aufbau der TCP-Verbindung kann ein nicht authentifizierter Benutzer die Ausführung von beliebigem Erlang-Code auf dem Server erzwingen.

Wichtige technische Punkte:

  • Verarbeitung von Kanälen vor der Authentifizierung: Der SSH-Server akzeptiert und verarbeitet fälschlicherweise kanalbezogene Nachrichten, bevor die Benutzeranmeldedaten überprüft werden.

  • Remote Code Execution (RCE): Schad-Payloads können beliebige Erlang-Funktionen aufrufen, beispielsweise um auf das Dateisystem zu schreiben oder Shell-Prozesse zu starten.

  • Vollständige Kompromittierung: Der Exploit erfordert weder ein gültiges Benutzerkonto noch einen Sitzungsstatus, was die vollständige Kompromittierung des Systems, Datendiebstahl oder laterale Bewegungen ermöglicht.

Empfehlungen

  1. Sofortiges Update
  • Benutzer von Erlang/OTP 27: Update auf OTP‑27.3.3
  • Benutzer von Erlang/OTP 26: Update auf OTP‑26.2.5.11
  • Benutzer von Erlang/OTP 25: Update auf OTP‑25.3.2.20
  1. Temporäre Schadensbegrenzung
  • Deaktivieren Sie die SSH-Server-Komponente von Erlang, falls diese nicht benötigt wird.
  • Andernfalls beschränken Sie den Zugriff über Firewall-Regeln auf vertrauenswürdige IPs oder VPN-Netzwerke.
  1. Stärkung des Netzwerkperimeters
  • Implementieren Sie SSH-Zugriffskontrollen auf Netzwerkebene (z. B. hostbasierte Firewalls, Sicherheitsgruppen).
  • Überwachen Sie IDS/IPS-Systeme auf unerwartete Kanal-Pakete vor der Authentifizierung.
  1. Verbesserung von Monitoring und Auditing
  • Aktivieren Sie SSH-Logging im Verbose-Modus, um Kanalöffnungen und vorzeitige Exec-Anfragen zu erfassen.
  • Lösen Sie Alarme bei anomalen oder vorzeitigen SSH-Verkehrsmustern aus.

[Callforaction-THREAT-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *