Критическая брешь в Erlang/OTP SSH превратилась в оружие в руках хакеров

Появились открытые эксплойты для уязвимости CVE-2025-32433 в SSH-демоне Erlang/OTP, позволяющие атакующим выполнять произвольный код на уязвимых системах без авторизации. Проблема была выявлена исследователями из Ruhr University Bochum: ошибка в обработке протокольных сообщений SSH позволяет инициировать соединение ещё до этапа проверки учётных данных.

Исправления появились в релизах Erlang/OTP 25.3.2.10 и 26.2.4, однако платформа активно используется в телеком-инфраструктуре, базах данных и кластерах высокой доступности, и обновление всех устройств может затянуться. Тем временем несколько специалистов, включая экспертов Zero Day Initiative и Horizon3, создали приватные PoC‑эксплойты, а вскоре публикации ProDefense на GitHub и анонимный код на Pastebin уже разошлись по соцсетям.

По словам Питера Гирнуса из ZDI, эксплойт оказался удивительно простым: с одной стороны, ProDefense подтвердил работоспособность своего варианта, с другой — пока не все опубликованные PoC одинаково эффективны. Как только вредоносные скрипты поступили в открытый доступ, хакеры немедленно начали сканировать интернет в поисках открытки на порту SSH для запуска кода.

Согласно данным Shodan, более 600 000 IP‑адресов отвечают службой Erlang/OTP SSH — в основном это инстансы CouchDB, построенные на той же платформе. Исходя из масштабов распространения и популярности SSH в удалённом администрировании, специалисты настоятельно рекомендуют обновить Erlang/OTP до патченных версий прежде, чем злоумышленники превратят эту дыру в «автоматический ботнет».