章
目
录
最近,安全研究人员发现了编号为CVE-2025-32433的严重漏洞,这个漏洞存在于Erlang/OTP SSH组件里。可能有些朋友不太清楚,Erlang/OTP是一个很常用的工具,不少系统都依赖它。而这个漏洞的CVSS评分竟然高达10.0分,这可是最高危险等级,意味着攻击者能利用它在没经过验证的情况下,在暴露的系统上随意执行代码,后果不堪设想。
一、漏洞曝光与影响范围
这个漏洞是由波鸿鲁尔大学的研究团队发现的。它厉害就厉害在,攻击者不用登录系统,就能在受影响的系统上运行代码。大家可别小瞧了它,因为Erlang库应用非常广泛,很多高可用性系统都离不开它,所以这个漏洞的CVSSv3评分才会这么高。
那些基于Erlang/OTP SSH库搭建的SSH服务器应用或服务,都可能被这个漏洞“盯上”。像电信设备、工业控制系统和联网设备这些关键基础设施,很多都依赖Erlang,它们受到的影响可能更大。研究人员也提醒,只要是用Erlang/OTP SSH进行远程访问的应用,都得小心,很可能已经在危险边缘了。
二、漏洞原理剖析
那这个漏洞到底是怎么回事呢?它出在SSH服务器处理特定消息的环节上。在初始连接阶段,也就是认证之前,攻击者只要有网络访问权限,就能发送一种特制的连接协议消息。这种消息能绕过系统原本的检查机制,然后触发远程代码执行。
简单来说,这个漏洞能让没授权的用户获得和SSH守护进程一样的权限。要是SSH守护进程是以root身份运行的(很多系统里都有这种情况),那攻击者就相当于拿到了系统的“万能钥匙”,可以随意访问和控制整个系统,这多可怕啊。
三、应对措施建议
好在Erlang官方已经在GitHub安全页面发布了公告。对于那些没办法马上升级系统的用户,专家建议可以通过设置防火墙规则,让SSH服务器只接受来自可信来源的访问,先把风险降低一些。
从这次的漏洞事件能看出,像Erlang/OTP这样的基础库一旦出问题,影响范围可太广了。所以,系统管理员和供应商得赶紧行动起来,看看自己的系统有没有用到Erlang/OTP SSH组件。要是有,能升级就尽快升级到最新的修补版本,比如OTP – 27.3.3、OTP – 26.2.5.11或OTP – 25.3.2.20 。要是暂时没办法升级,那就一定要把SSH端口的访问限制在可信IP范围内,千万不能掉以轻心。
四、专家解读与警示
Qualys安全研究经理Mayuresh Dani对这个漏洞的评价是“极其危险”。他说,就是因为在认证前处理SSH协议消息的时候出了问题,才让远程攻击者有机可乘,绕过安全检查来执行系统代码。而且很多设备的SSH守护进程都是以root权限运行的,这就给攻击者大开方便之门。
他还提到,Erlang因为在并发处理方面表现出色,所以常被用于高可用系统,像思科和爱立信的不少设备都在运行Erlang。所以,那些在OT或IoT环境里,用Erlang/OTP SSH库进行远程访问的服务,都面临着很大的风险。大家一定要重视起来,赶紧检查和处理,别等出了问题才后悔。
