Nieuws
image

VS meldt actief misbruik van kritiek lek in Erlang Erlang/OTP SSH Server

dinsdag 10 juni 2025, 10:12 door Redactie, 2 reacties

Aanvallers maken actief misbruik van een kritieke kwetsbaarheid in Erlang Erlang/OTP SSH Server, zo waarschuwt het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. De impact van het beveiligingslek (CVE-2025-32433) is op een schaal van 1 tot en met 10 beoordeeld met een 10.0.

Erlang is een programmeertaal en OTP is een verzameling Erlang libraries. Erlang/OTP biedt een ingebouwde SSH client en daemon. Het Secure Shell Protocol (SSH Protocol) is een protocol dat gebruikers op een beveiligde manier op bijvoorbeeld servers laat inloggen of op afstand machines beheren. Het beveiligingslek bevindt zich in het verwerken van SSH-protocolberichten. Hierdoor kan een aanvaller ongeautoriseerde toegang tot kwetsbare SSH-servers krijgen en zonder geldige inloggegevens willekeurige commando's op de server uitvoeren.

Verschillende leveranciers en producten maken gebruik van Erlang/OTP SSH Server, waaronder Cisco. Updates voor het probleem zijn sinds april beschikbaar. Eerder waarschuwde securitybedrijf Horizon3 al dat misbruik van het beveiligingslek eenvoudig is. Het. Securitybedrijf Qualys berichtte eind april dat er meer dan twee miljoen publiek beschikbare doelwitten zijn. Volgens het CISA vindt misbruik nu ook plaats, maar het Amerikaanse cyberagentschap geeft geen details over de waargenomen aanvallen.

Reacties (2)
Reageer met quote
10-06-2025, 11:13 door Anoniem
Actief misbruik van de Erlang/OTP SSH kwetsbaarheid is opvallend, vooral doordat er weinig echt kwetsbare producten waren. De Cisco kwetsbaarheden waren namelijk niet uit te buiten, ondanks dat er door de media hierover geschreven werd. De kwetsbaarheid is in een lab omgeving eenvoudig te maken en uit te buiten, maar in de praktijk ben je afhankelijk van een ander soort implementatie en de manier waarop die de authenticatie afhandelt. Bij Cisco was die niet kwetsbaar. Voor de Russische firewall UserGate NGFW is het onduidelijk, al heeft de leverancier wel in de release notes stilletjes vermeld dat er een remote code execution kwetsbaarheid is opgelost in de SSH CLI. Mijn vermoeden is dat de CISA deze kwetsbaarheid op de KEV Catalog geplaatst heeft doordat er scans zijn waargenomen. Actief scannen met een realistische Proof-of-Concept is voldoende om op de KEV Catalog te komen, ook als deze Proof-of-Concept buiten een lab omgeving geen echte hits geeft.

Als context: ik schreef een van de eerste publieke poc's en weet vrij gedetailleerd hoe deze kwetsbaarheid in elkaar steekt.
Reageer met quote
Gisteren, 08:35 door Anoniem
Door Anoniem: Actief misbruik van de Erlang/OTP SSH kwetsbaarheid is opvallend, vooral doordat er weinig echt kwetsbare producten waren. De Cisco kwetsbaarheden waren namelijk niet uit te buiten, ondanks dat er door de media hierover geschreven werd. De kwetsbaarheid is in een lab omgeving eenvoudig te maken en uit te buiten, maar in de praktijk ben je afhankelijk van een ander soort implementatie en de manier waarop die de authenticatie afhandelt. Bij Cisco was die niet kwetsbaar. Voor de Russische firewall UserGate NGFW is het onduidelijk, al heeft de leverancier wel in de release notes stilletjes vermeld dat er een remote code execution kwetsbaarheid is opgelost in de SSH CLI. Mijn vermoeden is dat de CISA deze kwetsbaarheid op de KEV Catalog geplaatst heeft doordat er scans zijn waargenomen. Actief scannen met een realistische Proof-of-Concept is voldoende om op de KEV Catalog te komen, ook als deze Proof-of-Concept buiten een lab omgeving geen echte hits geeft.

Als context: ik schreef een van de eerste publieke poc's en weet vrij gedetailleerd hoe deze kwetsbaarheid in elkaar steekt.

Interessant, goed om te weten, ben er zelf ook al ingedoken.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search
Advertentie