關(guān)鍵詞

安全漏洞

安全業(yè)界正面臨一場前所未有的挑戰(zhàn)——研究人員日前確認(rèn)Erlang/OTP的SSH實(shí)現(xiàn)存在一個可導(dǎo)致遠(yuǎn)程代碼執(zhí)行的嚴(yán)重漏洞（CVE-2025-32433），該漏洞已被評定為CVSS最高分10.0的危險等級。攻擊者無需任何認(rèn)證即可執(zhí)行任意代碼，完全控制系統(tǒng)。

這一關(guān)鍵漏洞由安全研究團(tuán)隊(duì)于2025年4月首次公開披露。問題根源在于SSH協(xié)議的消息處理機(jī)制存在缺陷，攻擊者可在認(rèn)證完成前發(fā)送連接協(xié)議消息。值得注意的是，該漏洞影響所有運(yùn)行SSH服務(wù)器組件的Erlang/OTP版本，與底層系統(tǒng)版本無關(guān)。

Horizon3攻擊團(tuán)隊(duì)的研究人員已成功復(fù)現(xiàn)漏洞并開發(fā)出概念驗(yàn)證性攻擊代碼（PoC）。更令人擔(dān)憂的是，研究人員在社交媒體上警示稱："CVE-2025-32433的漏洞利用出乎意料的簡單。公開PoC（概念驗(yàn)證代碼）可能隨時涌現(xiàn)。如正在關(guān)注此事，現(xiàn)在是立即采取行動的時候了。"

漏洞利用的簡易性引發(fā)了安全專家的高度警覺。令人不安的是，已有匿名研究人員在Pastebin上公開了概念驗(yàn)證代碼。安全專家指出，考慮到Erlang廣泛應(yīng)用于電信設(shè)備制造商的關(guān)鍵基礎(chǔ)設(shè)施、物聯(lián)網(wǎng)（IoT）和工業(yè)控制系統(tǒng)（OT）環(huán)境，這一漏洞可能造成特別嚴(yán)重的后果。

網(wǎng)絡(luò)安全專家將其評估為"極其危急"級別，警告稱威脅行為者可能利用此漏洞進(jìn)行包括完全系統(tǒng)接管在內(nèi)的惡意活動。鑒于Erlang在電信行業(yè)的廣泛應(yīng)用，每個正在運(yùn)行SSH服務(wù)的Erlang節(jié)點(diǎn)都面臨潛在風(fēng)險。

目前，安全團(tuán)隊(duì)正爭分奪秒地為受影響系統(tǒng)打補(bǔ)丁。業(yè)內(nèi)建議所有采用Erlang/OTP SSH服務(wù)器的組織立即采取行動，檢查系統(tǒng)狀態(tài)并應(yīng)用最新安全更新。隨著公開漏洞利用代碼的出現(xiàn)，專家預(yù)計(jì)針對該漏洞的攻擊活動可能會迅速增加。

安全圈

網(wǎng)羅圈內(nèi)熱點(diǎn) 專注網(wǎng)絡(luò)安全

實(shí)時資訊一手掌握！

好看你就分享 有用就點(diǎn)個贊

支持「安全圈」就點(diǎn)個三連吧！