Erlang/OTP’nin SSH uygulamasında (CVE-2025-32433) kritik bir uzaktan kod yürütme (RCE) güvenlik açığı, araştırmacılar bu hafta bir kavram kanıtı (POC) yayınladıktan sonra aktif istismar riskine girmiştir.
Ruhr Üniversitesi Bochum’dan Fabian Bäumer, Marcus Brinkmann, Marcus Brinkmann, Marcel Maehren ve Jörg Schwenk tarafından keşfedilen kusur, kimlik doğrulanmamış saldırganların savunmasız sistemlerde keyfi kod yürütmesine izin veriyor ve SSH bağlantısı için Erlang/OTP’yi kullanan sunuculara ciddi bir tehdit oluşturmasına izin veriyor.
Güvenlik Açığı Genel Bakış
Kusur (CVSSV3 10.0), SSH protokol mesajlarının uygunsuz işlenmesinden kaynaklanır ve saldırganların bağlantı aşamasında kimlik doğrulamasını atlamasını ve kötü niyetli yükler göndermesini sağlar.
.png
)
Başarılı sömürü, özellikle SSH daemon kök ayrıcalıklarıyla çalışırsa, hedef sistem üzerinde tam kontrol sağlar.
Araştırmacılar, “Bu güvenlik açığı maruz kalan sistemler için en kötü durum senaryosu” dedi. “Saldırganlar, kimlik bilgileri gerektirmeden verileri manipüle edebilir, fidye yazılımı dağıtır veya kaçırma altyapısı yapabilir.”
OTP-27.3.3, 26.2.5.11 ve 25.3.2.20’den önceki tüm Erlang/OTP sürümleri savunmasızdır. Erlang/OTP’nin SSH kütüphanesi, Rabbitmq ve Elixir gibi popüler çerçeveler de dahil olmak üzere telekomünikasyon, IoT ve yüksek kullanılabilirlik sistemlerinde yaygın olarak kullanılmaktadır.
Erlang/OTP ekibi 16 Nisan 2025’te yamalar yayınladı. Yöneticiler:
- Hemen yükselt sabit sürümlere.
- SSH erişimini kısıtlamak Yama gecikirse güvenlik duvarları aracılığıyla.
- Denetim sistemleri Alışılmadık aktivite için, istismarlar yamalardan önce gelebilir.
Geçici geçici çözümler arasında SSH’yi devre dışı bırakma veya güvenilir IP’lerle sınırlama bağlantıları bulunur.
POC şimdi halka açık olarak, tehdit aktörlerinin bu kusuru hızla silahlandırması bekleniyor. Siber güvenlik ajansları küresel olarak öncelikli iyileştirme çağrısında bulunan uyarılar yayınlamıştır.
Ruhr Üniversitesi ekibi şeffaflığı vurguladı: “Swift yamaları sağlamak için Erlang Bakımcılarıyla yakın işbirliği yaptık. Kuruluşlar şimdi harekete geçmeli – bu teorik bir risk değil.”
CVE-2025-32433, açık kaynaklı bağımlılıklarda kritik uyanıklık ihtiyacının altını çizmektedir.
Erlang/OTP çok sayıda kurumsal sistemin temelini oluşturdukça, yama gecikmeleri yaygın ihlallere yol açabilir. Sistem sahiplerine bu güvenlik açığını en yüksek aciliyetle ele almaları tavsiye edilir.
Find this News Interesting! Follow us on Google News, LinkedIn, & X to Get Instant Updates!