Erlang/OTP’nin SSH deemon’unda kritik bir uzaktan kod yürütme kırılganlığı, vahşi doğada aktif olarak kullanılmıştır ve siber suçlular, birden fazla endüstride operasyonel teknoloji ağlarını hedeflemektedir.
Maksimum CVSS skorunu 10.0 taşıyan CVE-2025-32433, kimlik doğrulanmamış saldırganların SSH bağlantı noktalarını açmak için özel olarak hazırlanmış SSH bağlantı protokol mesajları göndererek savunmasız sistemlerde keyfi komutlar yürütmesine izin verir.
Güvenlik açığı, OTP-27.3.3, OTP-26.2.5.11 ve OTP-255.3.3.2.20’den önce Erlang/OTP sürümlerini etkiler ve kritik altyapı ortamlarında yaygın olarak konuşlandırılan sistemleri etkiler.
Erlang’ın açık telekom platformu, hataya dayanıklı ve ölçeklenebilirlik yetenekleri nedeniyle telekomünikasyon ağlarına, finansal sistemlere ve endüstriyel kontrol ortamlarına uzun süredir güvenilmektedir.
Kusur, kimlik doğrulama tamamlanmadan önce onay sonrası mesajları reddedemeyen ve önemli bir saldırı yüzeyi oluşturan SSH daemon’daki uygunsuz durum uygulanmasından kaynaklanmaktadır.
Bu kırılganlığı hedefleyen sömürü girişimleri, 1-9 Mayıs 2025 arasında önemli ölçüde arttı ve Palo Alto Networks araştırmacıları bu dönemde küresel olarak 3.376’dan fazla imza tetikleyicilerini tanımladı.
Dikkat çekici bir şekilde, bu tespitlerin yaklaşık yüzde 70’i operasyonel teknoloji ağlarını koruyan güvenlik duvarlarından kaynaklandı ve bu da kritik altyapı sistemlerine yoğun bir odaklanma olduğunu gösterdi.
Coğrafi dağıtım, ABD, Japonya ve Brezilya da dahil olmak üzere olgun dijital altyapı olan ülkelerin en yüksek hacimde sömürü girişimlerini yaşadıklarını ortaya koydu.
Saldırılar, sağlık hizmetleri, tarım, medya ve eğlence ve yüksek teknoloji sektörleri de dahil olmak üzere orantısız bir şekilde etkilenmiştir.
Analiz, OT ağlarının geleneksel BT ortamlarına kıyasla cihaz başına yüzde 160 daha fazla sömürü denemesi yaşadığını ve bu da sanayi sistemlerinin hedefli keşiflerini veya zaten tehlikeye atılmış kurumsal ağlardan yanal hareket olduğunu gösterdi.
Gelişmiş Yük Analizi ve Saldırı Metodolojisi
Güvenlik araştırmacıları, CVE-2025-32433 sömürü girişimleri aracılığıyla konuşlandırılan sofistike saldırı yüklerinin bu güvenlik açığından yararlanan tehdit aktörlerinin teknik karmaşıklığını ortaya çıkardığını belirlediler.
.webp)
Uzak Ana Bilgisayar Yönlendirmesi (Kaynak – Palo Alto Networks)
En sık gözlemlenen saldırı tekniği, tehlikeye atılan sistemlere kalıcı uzaktan erişim sağlamak için tasarlanmış ters kabuk uygulamalarını içerir.
.webp)
Yaygın bir yük varyantı, doğrudan sistem kabuklarına bağlanmak için dosya tanımlayıcılarını kullanarak TCP bağlantıları oluşturur ve ağ bağlantıları üzerinden etkileşimli komut yürütme sağlar.
Kötü amaçlı kod tipik olarak şu şekilde görünür:-
exec(fd,"/bin/sh",["/bin/sh"],environ)Bu yaklaşım, saldırganların geleneksel tespit mekanizmalarından kaçarken kalıcı erişimi sürdürmesini sağlar.
Daha basit ama eşit derecede etkili bir varyant, Bash’in etkileşimli modunu kullanarak ters kabukları başlatır, kabuk girişini ve çıkışını doğrudan uzaktan komut ve kontrol sunucularına yönlendirir.
Bu yükler, genellikle BotNet Communications ile ilişkili olan 6667 bağlantı noktasında çalışan 146.103.40.203 gibi IP adresleri de dahil olmak üzere şüpheli altyapıya bağlanır.
Özellikle, saldırganların dns.outbound.watchtowr.com gibi alanlar altında randomize alt alanlara DNS aramalarını tetiklediği DNS tabanlı bant dışı uygulama güvenlik test tekniklerinin kullanılmasıdır.
Bu gizli validasyon yöntemleri, tehdit aktörlerinin belirgin ağ trafiği üretmeden başarılı kod yürütülmesini onaylamasına izin vererek, algılamayı güvenlik ekiplerinin etkilenen ortamları izlemesi için önemli ölçüde daha zorlayıcı hale getirir.
SOC’nizi en son tehdit verilerine tam erişimle donatın Herhangi biri. Olay yanıtı iyileştirebilir -> 14 günlük ücretsiz deneme alın