CVE-2025-32433, брутальный RCE и любовь атакующих к OT-файрволам
Пока большинство разработчиков Erlang думали о телекомах, масштабируемых системах и прочих высоких материях, реальность решила напомнить: любая красивая архитектура рушится, если в ней есть дыра с CVSS 10.0.
Критическая уязвимость CVE-2025-32433 в SSH-реализации Erlang/Open Telecom Platform (OTP) стала новой игрушкой в руках киберпреступников. Причём игрушкой опасной — с функцией «запусти произвольный код, без всяких паролей».
Немного о сути проблемы
В сердце Erlang/OTP есть собственная реализация SSH, отвечающая за шифрование, передачу файлов и — самое вкусное — удалённое выполнение команд. Когда в апреле 2025-го выяснилось, что авторизация там, мягко говоря, необязательна, инженеры в спешке выпустили патчи:
-
OTP-27.3.3
-
OTP-26.2.5.11
-
OTP-25.3.2.20
Но, как это обычно бывает, часть администраторов решила, что обновления «можно поставить потом» (а потом они поставят в форензик-отчёт скриншоты с датами атак).
Когда всё началось
Хотя патч вышел в апреле, телеметрия Palo Alto Networks Unit 42 показывает: эксплуатировать дыру начали уже в мае. А в июне CISA добавила уязвимость в свой Known Exploited Vulnerabilities каталог — переводя с бюрократического языка, «да, по вам уже стреляют».
Где бьют
Около 70% детектов приходятся на файрволы, защищающие OT-сети. Да-да, те самые промышленные сегменты, где безопасность часто выглядит как древний свитч с надписью «Не трогать, работает».
Сектора-лидеры по попаданиям:
-
здравоохранение (ну а вдруг это новая «цифровая хирургия»),
-
сельское хозяйство (видимо, фермерские дроны уже на заметке),
-
медиа и развлечения (RCE и попкорн),
-
high-tech (куда же без него).
География
Главные пострадавшие страны: США, Канада, Бразилия, Индия и Австралия. Впрочем, сама природа RCE предполагает, что атакующие географией особо не заморачиваются.
Техника атаки
Сценарий прост и эффективен:
-
Находим уязвимый Erlang/OTP SSH-сервер.
-
Подключаемся без пароля.
-
Запускаем произвольный код.
-
Ставим reverse shell и получаем удалённый доступ.
-
Радуемся жизни и ищем, что ещё можно вытащить.
Unit 42 отмечает, что атаки происходят в коротких, но интенсивных волнах — как будто злоумышленники проверяют список целей, затем быстро уходят в тень.
Почему это плохо
Во-первых, CVSS 10.0 — это не просто «плохо», это катастрофически плохо. Во-вторых, OT-сети — это не блог на WordPress, где максимум украдут пару записей. Здесь можно зацепить оборудование, отвечающее за реальные физические процессы. А это уже сценарии, от которых любят писать голливудские сценаристы: от остановки заводов до хаоса в инфраструктуре.
Ирония момента
Всё это произошло на фоне того, что Erlang часто хвалят за надёжность и предсказуемое поведение. Но даже самая надёжная система бессильна, если её ключи доступа лежат на столе, а дверь открыта настежь.
Что делать
-
Если вы используете Erlang/OTP с SSH — срочно обновляйтесь до безопасных версий.
-
Проверяйте логи на попытки аутентификации и странные команды.
-
Если ваша сеть связана с OT — возможно, самое время сделать аудит экспозиций наружу.
В противном случае, вы рискуете войти в статистику следующего отчёта Unit 42, где ваша инфраструктура будет фигурировать как «ещё один пример успешной эксплуатации».
Берегите себя и свои нервы.
📘 Понравилась статья?
Больше практики и реальных заданий — в Kraken Academy.
А чтобы точно ничего не пропустить — подпишись на наш Telegram-канал.
