Se ha observado que actores maliciosos están explotan una falla de seguridad crítica (ahora corregida) que impacta la plataforma Erlang/Telecom Open Platform (OTP) desde principios de mayo de 2025, con aproximadamente el 70% de las detecciones que se originan en los firewalls que protegen las redes OT.
La vulnerabilidad en cuestión es CVE-2025-32433 (CVSS: 10.0), un problema de autenticación faltante que podría ser abusado por un atacante con acceso a la red a un servidor ERLANG/OTP SSH para ejecutar código arbitrario. Incluso hay un laboratorio para probar la vulnerabilidad con detalles técnicos.
Las versiones vulnerables incluyen Erlang/OTP anteriores OTP-27.3.3, OTP-26.2.5.11 and OTP-25.3.2.20.
Luego, en junio de 2025, la Agencia de Seguridad de Ciberseguridad CISA agregó la falla a su conocido catálogo de vulnerabilidades explotadas (KEV), basado en evidencia de explotación activa.
"En el corazón de las capacidades de comunicación segura de Erlang/OTP se encuentra su implementación nativa de SSH, responsable de las conexiones cifradas, transferencias de archivos y, lo más importante, la ejecución de comandos", dijeron los investigadores de Palo Alto Networks 42 Investigadores Adam Robbie, Yiheng AN, Malav Vyas, Cecilia Hu, Matthew Tennis y Zhanhao Chen.
"Un defecto en esta implementación permitiría a un atacante con acceso a la red para ejecutar código arbitrario en sistemas vulnerables sin requerir credenciales, presentando un riesgo directo y severo a los activos expuestos".
El análisis de la compañía de ciberseguridad de los datos de telemetría ha revelado que más del 85% de los intentos de exploit han señalado principalmente sectores de atención médica, agricultura, medios y entretenimiento y alta tecnología en los Estados Unidos, Canadá, Brasil, India y Australia, entre otros.
En los ataques observados, la explotación exitosa de CVE-2025-32433 es seguido por los actores de amenaza que usan shell inversas para obtener acceso remoto no autorizado a las redes de destino. Actualmente no se sabe quién está detrás de los esfuerzos.
"Esta exposición generalizada en puertos específicos industriales indica una superficie de ataque global significativa en las redes OT", dijo la Unidad 42. "El análisis de las industrias afectadas demuestra varianza en los ataques". "Los atacantes intentan explotar la vulnerabilidad en ráfagas cortas de alta intensidad. Estos están apuntando desproporcionadamente a las redes OT e intentando acceder a los servicios expuestos a través de los puertos de TI e industriales".
Fuente: THN