This post is also available in: Português
Em abril de 2025, foi divulgada uma vulnerabilidade crítica no componente SSH do Erlang/OTP, identificada como CVE-2025-32433. Esta falha representa um risco severo à segurança de sistemas que utilizam Erlang/OTP, especialmente em ambientes onde o componente SSH está exposto diretamente à internet ou integra serviços de missão crítica.
O que é o Erlang/OTP e onde ele é utilizado?
O Erlang/OTP é uma plataforma de desenvolvimento altamente confiável, orientada a concorrência e tolerância a falhas, muito utilizada na criação de sistemas distribuídos e em tempo real. Desenvolvido inicialmente pela Ericsson, ele é amplamente adotado em aplicações como servidores de comunicação, sistemas de telecomunicações, mensageria (como o RabbitMQ), plataformas de blockchain, além de alguns serviços em nuvem e bancos de dados NoSQL.
Entendendo a CVE-2025-32433
A vulnerabilidade CVE-2025-32433 afeta diretamente a implementação do protocolo SSH no Erlang/OTP. De acordo com as descrições oficiais, trata-se de uma falha crítica classificada com a pontuação CVSS de 10.0, o que indica gravidade máxima.
O erro reside na ausência de autenticação adequada para uma função crítica (classificada sob a CWE-306 – Missing Authentication for Critical Function). Especificamente, um invasor remoto e não autenticado pode explorar uma falha na negociação de chaves do protocolo SSH para executar comandos arbitrários remotamente no sistema afetado, com os privilégios do processo Erlang.
Essa falha representa uma ameaça séria porque permite a execução remota de código sem qualquer tipo de autenticação prévia, o que pode resultar em comprometimento total do sistema, acesso não autorizado a dados, instalação de malware, movimentação lateral e outros ataques em cadeia.
Produtos afetados
A vulnerabilidade está presente nas seguintes versões do Erlang/OTP:
- Erlang/OTP 26.2 até 26.2.3
- Erlang/OTP 25.3 até 25.3.2.9
Os mantenedores do projeto já disponibilizaram atualizações de segurança com correções nas versões 25.3.2.10 e 26.2.4, que devem ser aplicadas imediatamente pelos administradores de sistemas e desenvolvedores que utilizam o componente SSH do Erlang/OTP.
Detalhes técnicos e exploração
A falha decorre de uma validação insuficiente durante o processo de handshake SSH. O invasor pode forjar mensagens específicas de troca de chaves (key exchange) para induzir a execução de código diretamente pelo nó Erlang remoto. De acordo com pesquisadores da Truesec e da Arctic Wolf, a exploração ativa já foi confirmada, e existe um código de prova de conceito (PoC) disponível publicamente, o que aumenta significativamente o risco de ataques em larga escala.
Além disso, o fato de o Erlang ser utilizado em diversos sistemas embarcados, ambientes distribuídos e plataformas com alta disponibilidade torna essa vulnerabilidade ainda mais preocupante, pois pode afetar serviços essenciais de forma silenciosa e profunda.
Impactos e urgência da correção
A exploração da CVE-2025-32433 pode causar uma série de impactos severos. A principal consequência é a execução remota de código com os mesmos privilégios do processo Erlang, o que pode permitir que atacantes comprometam totalmente a aplicação ou serviço afetado. Isso inclui a possibilidade de interceptar ou manipular dados sensíveis, implantar backdoors, mover-se lateralmente pela rede e manter persistência em ambientes críticos.
O fato de a falha não exigir autenticação prévia agrava ainda mais o cenário, já que amplia a superfície de ataque para qualquer ambiente exposto à internet ou a redes não confiáveis. O risco é amplificado pela existência de código de exploração já disponível publicamente e por evidências de exploração ativa na internet.
Diante desse contexto, a aplicação imediata dos patches disponibilizados pelos desenvolvedores do Erlang/OTP é essencial. Organizações devem agir com máxima urgência, realizando atualizações nos ambientes afetados, monitorando os sistemas para detectar qualquer comportamento anômalo e restringindo o acesso ao componente SSH sempre que possível até que a correção seja aplicada. A agilidade na mitigação dessa falha é fundamental para evitar compromissos operacionais e danos à infraestrutura digital das organizações.
Para mais informações técnicas e acesso às atualizações, recomenda-se consultar os avisos oficiais de segurança do projeto Erlang/OTP, além dos comunicados de fornecedores de segurança como Cisco, Truesec e Arctic Wolf.
This post is also available in: Português
