Güvenlik Araştırmacıları, Erlang/OTP SSH’de CVSS 10.0 RCE güvenlik açığı olan CVE-2025-32433’ü açıklayarak açıkta kalan sistemlerde kimlik doğrulanmamış kod yürütülmesine izin veriyor.
Erlang/OTP SSH uygulamasında yeni açıklanan bir kırılganlık, saldırganların giriş yapmadan etkilenen sistemlerde kod çalıştırmasına izin verebilir. CVE-2025-32433 olarak izlenen kusur, Ruhr Üniversitesi Bochum olarak izlenmiştir ve maksimum CVSV3 puanı 10.0 skoru ile derecelendirilmiştir.
OSS-Security Posta Listesi aracılığıyla araştırmacılar tarafından açıklanan sorun, Erlang/OTP içindeki SSH protokol mesajı işlemesini etkiler ve saldırganların kimlik doğrulama gerçekleşmeden önce özel hazırlanmış mesajlar göndermesine izin verir. Eğer sömürülürse, güvenlik açığı keyfi kod uygulamasına yol açabilir. SSH daemon’un kök ayrıcalıklarıyla çalıştığı durumlarda, bu tam bir sistem uzlaşmasına neden olabilir.
Kim etkilenir?
Erlang/OTP SSH kütüphanesinde inşa edilmiş bir SSH sunucusu çalıştıran herhangi bir uygulama veya hizmet muhtemelen ortaya çıkar. Bu, özellikle telekomünikasyon ekipmanı, endüstriyel kontrol sistemleri ve bağlı cihazlar gibi yüksek kullanılabilirlik sistemleri için Erlang’a güvenen bir dizi ortam içerir.
Araştırmacılar, “Uygulamanız uzaktan erişim için Erlang/OTP SSH kullanıyorsa, bunun etkilendiğini varsaymalısınız” dedi.
Güvenlik açığı, kimlik doğrulama gerçekleşmeden önce SSH sunucusunun ilk bağlantı sırasında belirli mesajları işleme biçiminden kaynaklanır. Sunucuya ağ erişimi olan bir saldırgan, kimlik doğrulama adımından önce bağlantı protokolü mesajlarını göndererek, normal kontrolleri geçerek ve uzaktan kod yürütmeyi tetikleyerek bu kusuru kullanabilir.
Danışmanlığa göre, kusur yetkisiz kullanıcıların SSH daemon ile aynı ayrıcalıkları kazanmalarına izin verebilir. Bu, arka planemon kök olarak çalışıyorsa, saldırganın sınırsız erişime sahip olacağı anlamına gelir.
Şimdi ne yapmalı
Resmi danışmanlık Erlang’ın GitHub Güvenlik sayfasında mevcuttur. Hemen yükseltilemeyenler için, SSH sunucusuna güvenilmeyen kaynaklardan erişimi engellemek için güvenlik duvarı kuralları kullanılmalıdır.
Bu kusur özellikle sadece nasıl çalıştığı için değil, nerede yaşadığı için ciddidir. Erlang/OTP, genellikle rutin denetimlerde göz ardı edilen birçok üretim sistemine sessizce gömülüdür. Bu, yaygın pozlamayı gerçek bir endişe haline getirir.
Erlang/OTP gibi yaygın olarak kullanılan bir kütüphane etkilendiğinde, etki hızla yayılabilir. CVE-2025-32433, özellikle uzaktan erişim ve otomasyona bağlı sistemler için açık bir örnektir. Bu nedenle, yöneticiler ve satıcılar sistemlerini değerlendirmeleri, Erlang/OTP SSH’nin kullanımda olup olmadığını doğrulamaları ve mümkün olan en kısa sürede yama veya izole etmeleri istenir.
Uzman içgörü
Qualys Güvenlik Araştırma Müdürü Mayuresh Dani, kusuru “son derece kritik” olarak nitelendirdi.
Dani, “Ön kimlik doğrulama öncesi SSH protokol mesajlarının uygunsuz ele alınması nedeniyle, bir uzaktan tehdit aktörü bir sistemde kod yürütmek için güvenlik kontrollerini atlayabilir. SSH daemon, birçok dağıtımda yaygın olan kök ayrıcalıklarıyla çalışırsa, tehdit oyuncusu tam kontrol kazanacak” dedi Dani.
Erlang’ın eşzamanlı işlemeye güvenilir desteği nedeniyle yüksek kullanılabilirlik sistemlerinde sıklıkla kullanıldığını da sözlerine ekledi. “Birçok Cisco ve Ericsson cihazı Erlang’ı yönetiyor. OT veya IoT kurulumlarındakiler gibi uzaktan erişim için Erlang/OTP SSH kütüphanesini kullanan herhangi bir hizmet risk altında.”
Dani, Erlang/OTP’nin en son yamalı sürümlerinin güncellenmesini önerir. Bunlar OTP-27.3.3, OTP-26.2.5.11 ve OTP-25.3.3.2.20’yi içerir. Yükseltmeleri uygulamak için daha fazla zamana ihtiyaç duyan kuruluşlar için, SSH limanının yalnızca güvenilir IP’lere erişimini sınırlamayı önerir.