CISA ha emitido una advertencia urgente sobre una vulnerabilidad crítica en los servidores Erlang/OTP SSH que está siendo explotada activamente en la naturaleza.
La vulnerabilidad, rastreada como CVE-2025-32433, permite a los atacantes lograr la ejecución remota de código no autenticado en los sistemas afectados, lo que provocó su incorporación inmediata al catálogo de vulnerabilidades explotadas conocidas (KEV) de CISA el 9 de junio de 2025.
Esta falla de seguridad afecta a múltiples productos empresariales de los principales proveedores, incluidos Cisco, NetApp y SUSE, lo que crea una exposición generalizada en los sistemas de infraestructura críticos.
La vulnerabilidad se debe a una falta de autenticación para una debilidad de función crítica en la implementación del servidor Erlang/OTP SSH, clasificada bajo CWE-306 (Missing Authentication for Critical Function).
Esta falla de seguridad fundamental permite a actores maliciosos ejecutar comandos arbitrarios en sistemas de destino sin proporcionar credenciales válidas, evitando efectivamente los mecanismos de autenticación que deberían proteger estos servicios críticos.
El mecanismo de explotación se centra en el manejo inadecuado de mensajes del protocolo SSH dentro del marco Erlang/OTP.
Cuando un atacante crea mensajes de protocolo SSH específicos, el servidor no valida correctamente las credenciales de autenticación antes de procesar funciones críticas.
Este defecto de diseño crea una vía directa para la ejecución remota de código (RCE) no autenticado, lo que permite a los atacantes obtener un control total sobre los sistemas vulnerables sin credenciales de acceso legítimas.
No se puede subestimar la gravedad técnica de esta vulnerabilidad, ya que afecta el modelo de seguridad fundamental de las comunicaciones SSH.
Erlang/OTP se implementa ampliamente en entornos de telecomunicaciones, servicios financieros y infraestructura de nube, lo que hace que esta vulnerabilidad sea particularmente preocupante para las organizaciones que operan sistemas de misión crítica.
La explotación de esta falla podría comprometer completamente el sistema, exfiltración de datos y posible movimiento lateral dentro de las redes empresariales.
Detalles de la vulnerabilidad:
- Productos afectados: Cisco que utilizan el servidor SSH Erlang/OTP. Sistemas NetApp con servicios basados en Erlang. Distribuciones SUSE Linux con paquetes Erlang vulnerables.
- Impacto: ejecución remota de código (RCE)
- Requisitos: Acceso de red al puerto SSH (TCP/22) – No se requieren credenciales válidas – Implementación de Erlang/OTP sin parches (versiones 25.0 – 26.1)
- Puntuación CVSS 3.1: 9.8 (Crítica)
La vulnerabilidad afecta a varios productos que implementan la funcionalidad del servidor Erlang/OTP SSH, y se ha confirmado que los proveedores afectados incluyen Cisco, NetApp y SUSE.
La adopción generalizada de Erlang/OTP en entornos empresariales significa que numerosos productos y servicios adicionales también pueden ser vulnerables, particularmente aquellos en los sectores de telecomunicaciones y computación distribuida donde las capacidades de procesamiento concurrente de Erlang son altamente valoradas.
Estrategias de mitigación
CISA ha establecido una fecha límite de reparación obligatoria del 30 de junio de 2025 para que las agencias federales aborden esta vulnerabilidad, lo que refleja la naturaleza crítica de la falla de seguridad y la evidencia de explotación activa.
Se indica a las organizaciones que apliquen las mitigaciones proporcionadas por los proveedores de inmediato, sigan la guía operativa vinculante (BOD) 22-01 aplicable para servicios en la nube o suspendan el uso de los productos afectados si no hay mitigaciones adecuadas disponibles.
La principal estrategia de mitigación implica la aplicación de parches de seguridad proporcionados por los proveedores afectados a medida que estén disponibles.
Las organizaciones deben inventariar inmediatamente sus sistemas para identificar la posible exposición a esta vulnerabilidad, con especial atención en los servicios habilitados para SSH que ejecutan implementaciones de Erlang/OTP.
Se deben mejorar la segmentación de la red y los controles de acceso en torno a los sistemas afectados hasta que se puedan aplicar los parches.
Dada la explotación activa de esta vulnerabilidad, los equipos de seguridad deberían implementar un monitoreo mejorado para intentos sospechosos de conexión SSH y ejecución de comandos no autorizados en sistemas que ejecutan servicios Erlang/OTP.
Las organizaciones también deberían considerar restringir temporalmente el acceso SSH solo al personal esencial e implementar capas de autenticación adicionales cuando sea técnicamente posible hasta que se implementen parches integrales en toda su infraestructura.
