CVSS skoru 10.0 olan CVE-2025-32433 olarak adlandırılan ciddi bir güvenlik açığı, Erlang Programlama Dilinin Açık Telekom Platformunun (OTP) Güvenli Kabuk (SSH) arka planında tanımlanmıştır.
Bu kusur, saldırganların yalnızca başarılı kimlik doğrulamasından sonra işlenmesi amaçlanan SSH bağlantı noktalarına 80’den daha büyük veya 80’e eşit kodlar olan SSH bağlantı protokolü mesajlarını göndermelerine izin vererek kimlik doğrulanmamış uzaktan kod yürütülmesine (RCE) izin verir.
OTP-27.3.3, OTP-26.2.5.11 ve OTP-255.3.2.20’den önceki Erlang/OTP sürümlerini etkileyen, kırılganlık, ELLANG/OTP’nin eşzamanlı sistemlerde hatalı ve ölçeklenebilir özellikleri için yaygın olarak kullanıldığı kritik altyapı ve operasyonel teknoloji (OT) ağları için önemli bir risk oluşturmaktadır.
Telekomünikasyon, finansal sistemler ve 5G ortamlarında yaygın olarak kullanılan OTP’deki yerel SSH uygulaması, şifreli bağlantıları, dosya aktarımlarını ve komut yürütmeyi kolaylaştırır, bu da bu uygunsuz durum uygulanmasını kimlik bilgileri olmadan rastgele kod yürütme için doğrudan bir yol haline getirir.
Nisan 2025’ten itibaren küresel tarama verileri, internette 326 savunmasız Erlang/OTP SSH hizmetlerini ortaya çıkaran 275 farklı ev sahibi, genellikle endüstriyel otomasyonda Ethernet/IP örtük mesajlaşma ile örtüşen standart olmayan bağlantı noktalarında ve OT ve OT saldırı yüzeyleri arasındaki hatları bulanıklaştırdı.
Sömürü girişimlerinde dalgalanma
Unit42 raporuna göre, CVE-2025-32433’ü hedefleyen sömürü denemeleri, 1 ve 9 Mayıs 2025 arasında arttı ve telemetri, yetkisiz uzaktan erişim sağlayan ters kabuk yükleri de dahil olmak üzere aktif aktif saldırıları gösterdi.
Gözlemlenen biri, etkileşimli kabuklara bağlı TCP bağlantıları oluşturmak için dosya tanımlayıcılarını kaldırırken, bir diğeri ise 6667 bağlantı noktasında 146.103.40.203 gibi uzak ana bilgisayarlara, genellikle botnet komut ve kontrolüne bağlı olarak yönlendirir.
Daha fazla analiz, GethostByName gibi DNS tabanlı göstergeler, kör RCE validasyonu ve veri eksfiltrasyonu için bant dışı uygulama güvenlik testini (OAST) gösteren dns.outbound.watchtowr.com altında randomize alt alanlara çağrılar.
Coğrafi dağıtım, ABD, Brezilya ve Fransa’nın en çok maruz kalan hizmetlere ev sahipliği yaptığını, istismar imzaları küresel olarak 3.376 kez tetiklendiğini ve bunların% 70’inin OT ağ güvenlik duvarlarından kaynaklandığını gösteriyor.
Japonya (% 99.74 OT korelasyonu), ABD (% 71.15) ve Hollanda ve Brezilya dahil diğer ülkeler, entegre BT/OT ortamlarıyla dijital olarak olgun endüstriyel sektörleri yansıtan yüksek OT etkisi sergiledi.
Endüstri açısından, sağlık hizmetleri, tarım, medya ve eğlence, yüksek teknoloji ve eğitim orantısız saldırılarla karşılaştı ve eğitim toplam tetikleyicilerin% 72,7’sini ve OT bağlamlarında% 88,4’ü oluşturdu.
Geçici eğilimler, OT tetikleyicilerinin genellikle tespitlerin% 80’ini aştığı 3, 6, 8 ve 9’da zirve yapan patlama aktivitesini ortaya koyuyor ve bu da zayıf segmentasyondan ve maruz kalan ICS cihazlarından yararlanan hedeflenen kampanyalar öneriyor.
Daha geniş sonuçlar
CVE-2025-32433’ü azaltmak için kuruluşlar acilen yamalı Erlang/OTP sürümlerine yükseltilmelidir: OTP-27.3.3, OTP-26.2.5.11, OTP-25.3.2.20 veya daha sonraki. Geçici önlemler olarak, SSH sunucusunu devre dışı bırakın veya güvenilir kaynaklara güvenlik duvarı kısıtlamaları uygulayın.
Bu güvenlik açığı, Erlang/OTP gibi genel amaçlı araçlardaki yazılım kusurlarının geleneksel olmayan sektörlerde operasyonel tehditlere dönüşebileceği, artmış görünürlük, saldırı önleme güncelleme güncellemeleri ve uzlaşma göstergeleri için izlenebileceği BT/OT yakınsamından artan riskleri örneklendirir.
Kamu hizmetleri, enerji, madencilik ve savunma sektörlerinde tespit bulunmaması, saldırıdan ziyade telemetride boşlukları gösterebilir ve saldırı yüzeylerinin yeniden değerlendirilmesini gerektirebilir.
Aktif sömürü, potansiyel olarak tehlikeye atılan işletme cihazlarından yanal hareket yoluyla, kritik altyapıyı korumak için entegre savunmaları vurgulayarak, düşmanların OT infiltrasyonuna doğru stratejik değişimini vurgulamaktadır.
Uzlaşma Göstergeleri (IOC)
| Gösterge | Tip | Tanım |
|---|---|---|
| dns.outbound.watchtowr.com | İhtisas | DNS Aramalarında Kullanılır OAST ve Kör RCE Validation Aust Boad Loads |
| 194.165.16.71 | IP adresi | Sömürü girişimlerinde tehdit altyapısı ile ilişkili |
| 146.103.40.203 | IP adresi | Botnet İletişimine Bağlı Ters Kabuk Yönlendirmeleri için Uzak Ana Bilgisayar |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!