Grave falla en Erlang/OTP permite ejecución remota sin autenticación

Una vulnerabilidad crítica en Erlang/OTP SSH permite ejecución de código remoto sin autenticación. Ya existe una prueba de concepto y se espera explotación masiva.

VULNERABILIDADES

4/17/2025

Un fallo grave en el componente SSH de Erlang/OTP, identificado como CVE-2025-32433, permite a atacantes ejecutar código de forma remota sin autenticarse. La vulnerabilidad afecta a todos los dispositivos que utilicen el daemon SSH de Erlang/OTP y ha sido calificada con la máxima severidad (CVSS 10.0).

El hallazgo fue realizado por investigadores de la Universidad Ruhr de Bochum en Alemania: Fabian Bäumer, Marcus Brinkmann, Marcel Maehren y Jörg Schwenk. Según el informe, la causa está en el manejo incorrecto de mensajes del protocolo SSH antes de la autenticación, lo que abre la puerta a ataques sin necesidad de credenciales.

Erlang es un lenguaje utilizado en sistemas críticos como infraestructura de telecomunicaciones y servidores de alta disponibilidad, por lo que la exposición es considerable.

El equipo de investigación de Horizon3 confirmó la falla, reprodujo el exploit y publicó que resulta “sorprendentemente fácil” de aprovechar. Incluso demostraron una prueba de concepto que permite escribir archivos como usuario root en sistemas afectados.

“No me sorprendería ver PoCs públicos en los próximos días. Si estás expuesto, actúa ya”, advirtió Horizon3 en X (antes Twitter).

  • Actualizar inmediatamente a una versión corregida.

  • Para sistemas que no pueden actualizarse fácilmente (por ejemplo, dispositivos industriales o críticos), se recomienda:

    • Restringir el acceso SSH a IPs de confianza

    • Deshabilitar el daemon SSH si no es esencial

Con pruebas de concepto ya circulando entre expertos, es solo cuestión de tiempo para que esta vulnerabilidad sea usada en ataques reales.

Recomendaciones

Fuente

Dispositivos y versiones afectadas

Todas las que ejecuten el SSH daemon de Erlang/OTP sin los últimos parches.

Versiones corregidas

  • 25.3.2.10

  • 26.2.4