Saldırganın belirli koşullar altında herhangi bir kimlik doğrulamasını kaydetmesine izin verebilecek Erlang/Açık Telekom Platformu (OTP) SSH uygulamasında kritik bir güvenlik açığı açıklanmıştır.
Güvenlik açığı, CVE-2025-32433maksimum CVSS skoru 10.0 verilmiştir.
Ruhr Üniversitesi Bochum araştırmacıları Fabian Bäumer, Marcus Brinkmann, Marcel Maehren ve Jörg Schwennk, “Güvenlik açığı, bir Erlang/OTP SSH sunucusuna ağ erişimi olan bir saldırganın önceden kimlik doğrulaması olmadan keyfi kod yürütmesine izin veriyor.” Dedi.
Sorun, bir saldırganın kimlik doğrulamadan önce bağlantı protokolü mesajlarını göndermesine izin veren SSH protokol mesajlarının uygunsuz ele alınmasından kaynaklanmaktadır. Eksikliklerin başarılı bir şekilde kullanılması, SSH daemon bağlamında keyfi kod uygulamasına neden olabilir.
Riski daha da kötüleştirmek, arka plan programı kök olarak çalışıyorsa, saldırganın cihazın tam kontrolüne sahip olmasını sağlar, buna karşılık hassas verilere veya hizmet reddi (DOS) için yetkisiz erişim ve manipülasyon yolunu açar.
Erlang/OTP SSH kütüphanesine dayalı bir SSH sunucusu çalıştıran tüm kullanıcılar muhtemelen CVE-2025-32433’ten etkilenir. OTP-27.3.3, OTP-26.2.5.11 ve OTP-255.3.2.20 sürümlerine güncellenmeniz önerilir. Geçici geçici çözümler olarak, savunmasız SSH sunucularına erişim uygun güvenlik duvarı kuralları kullanılarak önlenebilir.
Hacker News ile paylaşılan bir açıklamada, Qualys Güvenlik Araştırma Müdürü Mayuresh Dani, güvenlik açığını son derece kritik olarak nitelendirdi ve bir tehdit oyuncunun fidye yazılımı yükleme veya hassas verileri sifonlama gibi eylemler gerçekleştirmesine izin verebilir.
Dani, “Erlang, sağlam ve eşzamanlı işleme desteği nedeniyle yüksek kullanılabilirlik sistemlerine sıklıkla kuruldu.” Dedi. “Cisco ve Ericsson cihazlarının çoğunluğu Erlang’ı yönetiyor.”
“OT/IoT cihazlarında kullanılanlar gibi Uzaktan Erişim için Erlang/OTP’nin SSH kütüphanesini kullanan herhangi bir hizmet, kenar bilgi işlem cihazları sömürüye duyarlıdır. Sabit Erlang/OTP veya tedarikçi destekli sürümlere yükseltme, kırılganlığı düzeltir. Kuruluşların yükleme için daha fazla zamana ihtiyacı olması durumunda, kullanıcılara yalnızca yetkilendirilmelidir.”