Una vulnerabilidad de ejecución de código remoto crítico en el demonio SSH de Erlang/OTP se ha explotado activamente en la naturaleza, con ciberdelincuentes dirigidos a redes de tecnología operacional en múltiples industrias.
CVE-2025-32433, que lleva la puntuación CVSS máxima de 10.0, permite a los atacantes no autenticados ejecutar comandos arbitrarios en sistemas vulnerables mediante el envío de mensajes de protocolo de conexión SSH especialmente diseñado para abrir puertos SSH.
La vulnerabilidad afecta las versiones Erlang/OTP antes de OTP-27.3.3, OTP-26.2.5.11 y OTP-25.3.2.20, impactando sistemas ampliamente implementados en entornos de infraestructura crítica.
La plataforma de telecomunicaciones abierta de Erlang se ha confiado durante mucho tiempo en redes de telecomunicaciones, sistemas financieros y entornos de control industrial debido a sus capacidades de tolerancia a fallas y escalabilidad.
La falla proviene de la aplicación de estado inadecuada en el demonio SSH, que no puede rechazar los mensajes posteriores a la autorización antes de la finalización de la autenticación, creando una superficie de ataque significativa.
Los intentos de explotación dirigidos a esta vulnerabilidad aumentaron drásticamente entre el 1 al 9 de mayo de 2025, con los investigadores de Palo Alto Networks identificación Más de 3.376 firma se desencadenan a nivel mundial durante este período.
Sorprendentemente, aproximadamente el 70 por ciento de estas detecciones se originaron en firewalls que protegen redes de tecnología operativa, lo que indica un enfoque concentrado en los sistemas de infraestructura crítica.
La distribución geográfica reveló que los países con infraestructura digital madura, incluidos Estados Unidos, Japón y Brasil, experimentaron los más altos volúmenes de intentos de explotación.
Los ataques han afectado desproporcionadamente a las industrias, incluidas la atención médica, la agricultura, los medios y el entretenimiento, y los sectores de alta tecnología.
El análisis reveló que las redes OT experimentaron un 160 por ciento más de intentos de explotación por dispositivo en comparación con los entornos de TI tradicionales, lo que sugiere un reconocimiento dirigido de sistemas industriales o movimiento lateral de redes empresariales ya comprometidas.
Análisis avanzado de carga útil y metodología de ataque
Los investigadores de seguridad han identificado cargas útiles de ataque sofisticadas que se implementan a través de los intentos de explotación CVE-2025-32433, revelando la sofisticación técnica de los actores de amenazas que aprovechan esta vulnerabilidad.
Redirección remota del host (fuente – Palo Alto Networks)
La técnica de ataque más comúnmente observada implica implementaciones de shell inversa diseñadas para establecer un acceso remoto persistente a los sistemas comprometidos.
Creación de conexión TCP (Fuente – Palo Alto Networks)
Una variante de carga útil prevalente crea conexiones TCP utilizando descriptores de archivos para unirse directamente a los shells del sistema, habilitando la ejecución de comandos interactivos a través de las conexiones de red.
El código malicioso generalmente aparece como:-
exec (fd, “/bin/sh”, (“/bin/sh”), ambiente)
Este enfoque permite a los atacantes mantener el acceso persistente mientras evade los mecanismos de detección tradicionales.
Una variante más simple pero igualmente efectiva inicia conchas inversas utilizando el modo interactivo de Bash, redirigiendo la entrada de carcasa y la salida directamente a servidores remotos de comando y control.
Estas cargas útiles a menudo se conectan a una infraestructura sospechosa, incluidas direcciones IP como 146.103.40.203 que operan en el puerto 6667, comúnmente asociado con las comunicaciones de Botnet.
Particularmente preocupante es el uso de técnicas de prueba de seguridad de aplicaciones fuera de banda basadas en DNS, donde los atacantes desencadenan las búsquedas DNS a subdominios aleatorios en dominios como dns.outbound.watchtowr.com.
Estos métodos de validación sigilosa permiten a los actores de amenaza confirmar la ejecución exitosa del código sin generar el tráfico de red obvio, lo que hace que la detección sea significativamente más desafiante para los equipos de seguridad que monitorean los entornos afectados.
Equipe a su SOC con el acceso completo a los últimos datos de amenazas de cualquiera. Obtenga una prueba gratuita de 14 días
