Se ha observado que actores maliciosos están explotan una falla de seguridad
crítica (ahora corregida) que impacta la plataforma Erlang/Telecom Open Platform (OTP) desde principios de mayo de 2025, con aproximadamente el 70% de
las detecciones que se originan en los firewalls que protegen las redes OT.
La vulnerabilidad en cuestión es
CVE-2025-32433
(CVSS: 10.0), un problema de autenticación faltante que podría ser abusado por
un atacante con acceso a la red a un servidor ERLANG/OTP SSH para ejecutar
código arbitrario. Incluso hay un laboratorio para probar la vulnerabilidad con detalles técnicos.
Las versiones vulnerables incluyen Erlang/OTP anteriores OTP-27.3.3, OTP-26.2.5.11 and OTP-25.3.2.20.
Luego, en junio de 2025, la Agencia de Seguridad de Ciberseguridad
CISA agregó la falla
a su conocido catálogo de vulnerabilidades explotadas (KEV), basado en
evidencia de explotación activa.
«En el corazón de las capacidades de comunicación segura de Erlang/OTP se
encuentra su implementación nativa de SSH, responsable de las conexiones
cifradas, transferencias de archivos y, lo más importante, la ejecución de
comandos»,
dijeron los investigadores
de Palo Alto Networks 42 Investigadores Adam Robbie, Yiheng AN, Malav Vyas,
Cecilia Hu, Matthew Tennis y Zhanhao Chen.
«Un defecto en esta implementación permitiría a un atacante con acceso a la
red para ejecutar código arbitrario en sistemas vulnerables sin requerir
credenciales, presentando un riesgo directo y severo a los activos
expuestos».
El análisis de la compañía de ciberseguridad de los datos de telemetría ha
revelado que más del 85% de los intentos de exploit han señalado
principalmente sectores de atención médica, agricultura, medios y
entretenimiento y alta tecnología en los Estados Unidos, Canadá, Brasil, India
y Australia, entre otros.
En los ataques observados, la explotación exitosa de CVE-2025-32433 es seguido
por los actores de amenaza que usan shell inversas para obtener acceso
remoto no autorizado a las redes de destino. Actualmente no se sabe quién está
detrás de los esfuerzos.
«Esta exposición generalizada en puertos específicos industriales indica
una superficie de ataque global significativa en las redes OT», dijo la Unidad 42.
«El análisis de las industrias afectadas demuestra varianza en los
ataques».
«Los atacantes intentan explotar la vulnerabilidad en ráfagas cortas de
alta intensidad. Estos están apuntando desproporcionadamente a las redes OT
e intentando acceder a los servicios expuestos a través de los puertos de TI
e industriales».
Fuente:
THN