CVE-2025–32433:Erlang/OTP SSH 中的严重 RCE 漏洞
近期在 Erlang/OTP SSH 服务器中发现了一个严重的远程代码执行(RCE)漏洞,编号为 CVE-2025–32433。该漏洞源于对预认证 SSH 消息的不当处理,攻击者无需认证即可执行任意代码。Erlang/OTP 广泛用于电信、物联网(IoT)和运营技术(OT)等关键基础设施领域,存在大规模潜在影响。本文概述该漏洞,并介绍使用 Criminal IP 资产搜索检测暴露的 Erlang/OTP SSH 服务器的方法。
CVE-2025–32433:SSH 协议中的认证绕过
该漏洞产生的原因是 Erlang/OTP SSH 守护进程在处理某些预认证 SSH 消息时未进行充分验证。攻击者可发送特制的协议消息,以守护进程权限(通常为 root)执行命令。
受影响版本
任何低于以下版本的 Erlang/OTP 均视为存在漏洞。官方已修复的版本为:
- OTP-27.3.3 或更高版本
- OTP-26.2.5.11 或更高版本
- OTP-25.3.2.20 或更高版本
特别地,OTP-27.3.2、OTP-26.2.5.10 和 OTP-25.3.2.19 之前的版本 直接受影响,需立即更新。
攻击场景与威胁概述
该漏洞已被 Horizon3 攻击团队复现,并于 2025 年 4 月 17 日在 Pastebin 上公开了概念验证(PoC)代码。实际攻击流程如下:
- 攻击者尝试在无需认证的情况下建立 SSH 连接。
- 构造并发送一个预认证 SSH 消息。
- 若漏洞被成功利用,以 root 权限执行任意命令。
- 可导致系统完全失陷、数据泄露和勒索软件部署。
使用 Criminal IP 资产搜索检测易受攻击的服务器
可通过 Criminal IP 资产搜索快速识别暴露在互联网上的 Erlang/OTP SSH 服务器。
Criminal IP 搜索查询:
SSH-2.0-Erlang
搜索链接:
https://www.criminalip.io/asset/search?query=SSH-2.0-Erlang
截至 2025 年 4 月 29 日,该查询识别出 122 台暴露的 Erlang/OTP SSH 服务器。其中相当一部分资产已存在漏洞并受多个 CVE 影响。
进一步查看 IP 地址详情可发现,该资产运行基于 Erlang/OTP 的 SSH 守护进程,表明存在与 CVE-2025–32433 相关的潜在风险。例如,一台位于荷兰阿姆斯特丹的服务器开放了 5 个端口,存在 37 个已识别的漏洞,其中包括 Exploit DB 中的 9 个条目。这是一个典型案例:单个 IP 上运行着易受攻击的 SSH 服务版本,将多个高危漏洞暴露在互联网上。
特别地,当基于 Erlang/OTP 的 SSH 服务器检测到漏洞时,可能导致 root 权限提升和后门安装。
缓解与响应策略
使用 Erlang/OTP SSH 的组织应立即采取以下措施:
- 应用安全补丁:升级到 OTP-27.3.3、26.2.5.11、25.3.2.20 或更高版本。
- 限制 SSH 端口访问:通过防火墙设置阻止外部访问。
- 禁用 SSH:如非必要,完全禁用 SSH 服务。
- 配置 IP 白名单:仅允许来自可信 IP 地址的访问。
- 监控日志与流量:主动监测并检测异常的 SSH 访问尝试。
总结
CVE-2025–32433 是一个高危 RCE 漏洞,已有公开 PoC,需要立即响应。运行 Erlang/OTP 的系统面临较高的失陷和恶意软件传播风险。通过使用 Criminal IP 资产搜索,组织可以快速识别暴露的资产,有效缩小网络攻击面。 CSD0tFqvECLokhw9aBeRqqy7pDVE9jtHSghPeFdiPyEcot6XSwtlxuJCHOQzH/s/sptH61oVNNphdcW9dnrDJoOqBqRoOwOPFZXJVuVNtzAaO0oKQjdw2cT4LH5SfXHHrMhqCQKXjGngkAxiwFSyHfNJf5tFc7by+C92F/YGxok=
