Erlang/OTP SSH远程代码执行漏洞正被用于攻击工控网络
内容提要
Erlang/OTP的SSH守护进程存在严重的远程代码执行漏洞(CVE-2025-32433),攻击者可在未认证情况下通过特制消息执行任意命令。该漏洞影响多个版本,主要针对工控网络,攻击尝试在美国、日本和巴西等国激增。攻击者利用复杂载荷实现持久远程访问,并采用隐蔽验证方式,增加检测难度。
关键要点
-
Erlang/OTP的SSH守护进程存在严重的远程代码执行漏洞(CVE-2025-32433),攻击者可在未认证情况下执行任意命令。
-
该漏洞影响多个版本,主要针对工控网络,CVSS评分为满分10.0分。
-
受影响的版本包括早于OTP-27.3.3、OTP-26.2.5.11和OTP-25.3.2.20的Erlang/OTP版本。
-
漏洞源于SSH守护进程的状态强制机制缺陷,导致重大攻击面。
-
2025年5月1日至9日期间,针对该漏洞的攻击尝试激增,全球识别到超过3,376次特征触发。
-
约70%的检测记录来自保护工控网络的防火墙,攻击者重点关注关键基础设施系统。
-
受冲击最严重的行业包括医疗保健、农业、媒体娱乐以及高科技领域。
-
工控网络中每台设备遭受的攻击尝试比传统IT环境高出160%。
-
攻击者通过CVE-2025-32433漏洞部署高度复杂的攻击载荷,显示出其技术水平。
-
最常见的攻击技术是实现反向shell以建立持久远程访问。
-
攻击者利用Bash交互模式发起反向shell,重定向shell输入输出到远程命令控制服务器。
-
攻击者采用基于DNS的带外应用安全测试技术,增加了安全团队检测攻击的难度。
延伸解读
漏洞影响的行业
CVE-2025-32433漏洞对多个行业造成了严重威胁,尤其是医疗保健、农业、媒体娱乐和高科技领域。这些行业的工控网络因其对安全的高度依赖,成为攻击者的主要目标。企业需加强对这些关键基础设施的防护,确保及时更新系统以防止潜在攻击。
攻击技术的复杂性
攻击者利用该漏洞实施的攻击载荷显示出其技术水平的高超,尤其是通过反向shell实现持久远程访问的手法。这种复杂的攻击方式不仅增加了检测的难度,也使得防御措施的制定变得更加复杂。安全团队应关注攻击者的技术演变,及时调整防御策略。
检测与防护的挑战
约70%的攻击检测记录来自工控网络的防火墙,表明攻击者专注于关键基础设施的攻击。由于攻击者采用隐蔽的验证方式,安全团队在检测和响应时面临更大挑战。企业应考虑引入更先进的监测工具和技术,以提高对潜在攻击的响应能力。
延伸问答
CVE-2025-32433漏洞的主要影响是什么?
该漏洞允许攻击者在未认证情况下执行任意命令,影响多个Erlang/OTP版本,主要针对工控网络。
哪些行业最容易受到CVE-2025-32433漏洞的攻击?
受冲击最严重的行业包括医疗保健、农业、媒体娱乐和高科技领域。
攻击者如何利用CVE-2025-32433漏洞进行攻击?
攻击者通过发送特制的连接协议消息,利用SSH守护进程的缺陷实现远程代码执行。
CVE-2025-32433漏洞的CVSS评分是多少?
该漏洞的CVSS评分为满分10.0分。
攻击者使用了哪些技术来隐藏其攻击行为?
攻击者采用基于DNS的带外应用安全测试技术,增加了检测难度。
工控网络中设备遭受攻击的频率如何?
工控网络中每台设备遭受的攻击尝试比传统IT环境高出160%。
