Uma vulnerabilidade grave, designada CVE-2025-32433 com uma pontuação CVSS de 10,0, foi identificada no daemon Secure Shell (SSH) da Open Telecom Platform (OTP) da linguagem de programação Erlang.
Esta falha permite que não autenticado Execução remota de código (RCE), permitindo que os invasores enviem mensagens de protocolo de conexão SSH com códigos maiores ou iguais a 80 para abrir portas SSH, que devem ser processadas somente após a autenticação bem-sucedida.
Afetando as versões do Erlang/OTP anteriores ao OTP-27.3.3, OTP-26.2.5.11 e OTP-25.3.2.20, a vulnerabilidade representa um risco significativo para redes de infraestrutura crítica e tecnologia operacional (OT) em que o Erlang/OTP é comumente implantado por suas propriedades tolerantes a falhas e escaláveis em sistemas simultâneos.
Amplamente utilizada em ambientes de telecomunicações, sistemas financeiros e 5G, a implementação nativa de SSH no OTP facilita conexões criptografadas, transferências de arquivos e execução de comandos, tornando essa aplicação inadequada do estado um caminho direto para a execução de código arbitrário sem credenciais.
Os dados de varredura global de abril de 2025 revelaram 275 hosts distintos expondo 326 serviços SSH Erlang/OTP vulneráveis na Internet, geralmente em portas não padrão, como TCP 2222, que se sobrepõe às mensagens implícitas Ethernet/IP na automação industrial, borrando as linhas entre as superfícies de ataque de TI e OT.
Aumento nas tentativas de exploração
De acordo com a Unit42 relatório, as tentativas de exploração direcionadas ao CVE-2025-32433 aumentaram entre 1º de maio e 9 de maio de 2025, com telemetria indicando ataques ativos em estado selvagem, incluindo cargas de shell reversas que estabelecem acesso remoto não autorizado.
Uma carga útil observada aproveita os descritores de arquivo para criar conexões TCP vinculadas a shells interativos, enquanto outra redireciona a entrada/saída do Bash para hosts remotos como 146.103.40.203 na porta 6667, geralmente vinculada ao comando e controle de botnet.
Uma análise mais aprofundada descobriu indicadores baseados em DNS, como chamadas gethostbyname para subdomínios aleatórios em dns.outbound.watchtowr.com, indicativos de teste de segurança de aplicativos fora de banda (OAST) para validação cega de RCE e exfiltração de dados.
A distribuição geográfica mostra que os Estados Unidos, Brasil e França hospedam os serviços mais expostos, com assinaturas de exploração acionadas 3.376 vezes em todo o mundo, das quais 70% se originaram de firewalls de rede OT.
Países como Japão (99,74% de correlação de OT), EUA (71,15%) e outros, incluindo Holanda e Brasil, exibiram alto impacto de OT, refletindo setores industriais digitalmente maduros com ambientes integrados de TI/OT.
Em termos de indústria, saúde, agricultura, mídia e entretenimento, alta tecnologia e educação enfrentaram ataques desproporcionais, com a educação respondendo por 72,7% do total de gatilhos e 88,4% em contextos de OT.
As tendências temporais revelam atividade intermitente, com pico em 3, 6, 8 e 9 de maio, onde os gatilhos de OT geralmente excederam 80% das detecções, sugerindo campanhas direcionadas que exploram segmentação fraca e dispositivos ICS expostos.
Implicações mais amplas
Para mitigar o CVE-2025-32433, as organizações devem atualizar com urgência para versões corrigidas do Erlang/OTP: OTP-27.3.3, OTP-26.2.5.11, OTP-25.3.2.20 ou posterior. Como medidas provisórias, desative o servidor SSH ou implemente restrições de firewall para fontes confiáveis.
Essa vulnerabilidade exemplifica os riscos crescentes da convergência de TI/OT, onde Falhas de software em ferramentas de uso geral como Erlang/OTP podem se concentrar em ameaças operacionais em setores não tradicionais, destacando a necessidade de visibilidade aprimorada, atualizações de prevenção de intrusão e monitoramento de indicadores de comprometimento.
A ausência de detecções nos setores de serviços públicos, energia, mineração e defesa pode indicar lacunas na telemetria em vez de imunidade, exigindo uma reavaliação das superfícies de ataque.
A exploração ativa ressalta a mudança estratégica dos adversários em direção à infiltração de OT, potencialmente por meio do movimento lateral de dispositivos corporativos comprometidos, enfatizando defesas integradas para proteger a infraestrutura crítica.
Indicadores de Comprometimento (IOC)
| Indicador | Tipo | Descrição |
|---|---|---|
| dns.outbound.watchtowr.com | Domínio | Usado em pesquisas de DNS para OAST e validação de RCE cego em cargas úteis de exploração |
| 194.165.16.71 | Endereço IP | Associado à infraestrutura de ameaças em tentativas de exploração |
| 146.103.40.203 | Endereço IP | Host remoto para redirecionamentos de shell reverso, vinculados a comunicações de botnet |
Ache esta notícia interessante! Siga-nos noGoogle Notícias,LinkedIn, &Xpara obter atualizações instantâneas!