Исследователи кибербезопасности подтвердили массовые попытки эксплуатации критической уязвимости (CVE-2025-32433) в SSH-реализации платформы Erlang/Open Telecom Platform (OTP), представляющей угрозу для критической инфраструктуры по всему миру. Уязвимость с максимальным баллом CVSS 10.0 позволяет неавторизованным злоумышленникам выполнять произвольный код на уязвимых системах, что особенно опасно для операционных технологий (OT) и телекоммуникационных сетей.
Описание
Техническая основа угрозы
Уязвимость затрагивает SSH-демон в определенных версиях Erlang/OTP - языка программирования, широко используемого в высоконагруженных отраслях: телекоммуникациях, финансовом секторе и промышленных системах. Проблема возникает из-за нарушения последовательности обработки сообщений протокола SSH, когда специально сформированные пакеты (с кодами ≥80) принимаются до завершения аутентификации. Это позволяет удаленно выполнять команды без каких-либо учетных данных. Под угрозой находятся версии OTP ниже 27.3.3, 26.2.5.11 и 25.3.2.20.
Уязвимость нарушает фундаментальный принцип безопасности SSH - разделение стадий аутентификации и выполнения команд. Для OT-сред, где Erlang исторически применяется для управления критическими активами, это создает беспрецедентные риски.
Глобальная картина атак
Согласно данным телеметрии, собранным с 1 по 9 мая 2025 года, 70% попыток эксплуатации зафиксировано на межсетевых экранах, защищающих промышленные сети. Географически наибольшее число инцидентов зарегистрировано в США, Бразилии и Франции. При этом Япония выделяется тем, что 99.74% атак там нацелены исключительно на OT-инфраструктуру. В Нидерландах, Ирландии, Бразилии и Эквадоре все зафиксированные инциденты также происходили в операционных сетях.
Отраслевой анализ выявил тревожные тенденции:
- Сектор образования стал эпицентром атак (72.7% всех триггеров сигнатур), причем 88.4% из них пришлись на OT-сети учебных заведений.
- Здравоохранение, сельское хозяйство, медиаиндустрия и высокие технологии подверглись непропорционально высокому числу целевых атак.
- Примечательно отсутствие срабатываний в энергетике, горнодобывающей и оборонной отраслях, что может указывать на пробелы в мониторинге.
Тактика злоумышленников
Эксплойты используют обратные оболочки для установления контроля над системами. В наблюдаемых полезных нагрузках применяются методы скрытного взаимодействия:
- Создание TCP-соединения с привязкой к командной оболочке для интерактивного управления.
- Перенаправление ввода/вывода Bash на удаленный сервер 146.103.40[.]203 через порт 6667, традиционно используемый ботнетами.
Особую озабоченность вызывают DNS-индикаторы компрометации. В нескольких полезных нагрузках обнаружены запросы к случайным поддоменам dns.outbound.watchtowr[.]com через функцию gethostbyname(). Эта техника Out-of-Band Application Security Testing позволяет злоумышленникам косвенно подтверждать выполнение кода без прямого взаимодействия с жертвой.
Конвергенция IT и OT как фактор риска
Сканирование Cortex Xpanse выявило 326 публично доступных уязвимых служб Erlang/OTP, включая сервисы на TCP-порту 2222, который также используется промышленным протоколом Ethernet/IP. Это создает уникальные риски:
- Стирание границ между ИТ и АСУ ТП, когда уязвимость в универсальном ПО открывает путь к системам управления.
- Возможность непреднамеренного воздействия на промышленное оборудование при сканировании сетей.
- Недостаточная сегментация сетей в 60% организаций, где атаки на OT-сети инициировались из корпоративных сегментов.
"Пики активности приходятся на 3, 6, 8 и 9 мая, причем в дни максимальной интенсивности до 80% атак направлено на OT. Это не хаотичное сканирование, а целенаправленные кампании", - отмечают аналитики. Среднее число попыток эксплуатации на OT-брандмауэр в 2.6 раза превышает аналогичный показатель для ИТ-сетей.
Рекомендации по защите
Критически важно немедленно обновить Erlang/OTP до версий OTP-27.3.3, OTP-26.2.5.11 или OTP-25.3.2.20. Если патчинг невозможен, специалисты советуют временно отключить SSH-сервер или ограничить доступ через правила МСЭ. Организациям в группе риска (особенно в образовании, здравоохранении и high-tech) рекомендовано:
- Провести аудит сетевой периметра на предмет открытых портов SSH.
- Внедрить мониторинг DNS-запросов к подозрительным доменам.
- Проанализировать журналы на предмет аномальных подключений к порту 6667.
- Усилить сегментацию между корпоративными и производственными сетями.
"Эта уязвимость - наглядный пример трансформации угроз. Образовательные учреждения не воспринимались как операционная среда, но сегодня их лаборатории и исследовательские центры управляются через OT-системы. Угроза вышла за рамки традиционных промышленных объектов", - подчеркивают в Unit 42. По данным на 9 мая, активность эксплойтов продолжает расти, требуя безотлагательных мер от всех пользователей Erlang в критических инфраструктурах.
Индикаторы компрометации
IPv4
- 146.103.40.203
- 194.165.16.71
Domains
- .dns.outbound.watchtowr.com
