Trusted DesignCVE-2025-32433 の詳細
CVEの情報
説明:
Erlang/OTP is a set of libraries for the Erlang programming language. Prior to versions OTP-27.3.3, OTP-26.2.5.11, and OTP-25.3.2.20, a SSH server may allow an attacker to perform unauthenticated remote code execution (RCE). By exploiting a flaw in SSH protocol message handling, a malicious actor could gain unauthorized access to affected systems and execute arbitrary commands without valid credentials. This issue is patched in versions OTP-27.3.3, OTP-26.2.5.11, and OTP-25.3.2.20. A temporary workaround involves disabling the SSH server or to prevent access via firewall rules.
CVE更新日: 2025-04-16 22:15:14.373000
CVSSバージョン: 3.1
CVSSスコア: 10.0
KEVの情報
KEV更新日: 2025-06-09
EPSSの情報
EPSSは脆弱性が今後30日以内に悪用される確率を予測するスコアリングシステムで、FIRST(Forum of Incident Response and Security Teams)が提供しています。
EPSSのスコアが高いということは、攻撃されるリスクが高いことを意味するので、早めの対策が必要です。
EPSSスコア: 0.597220000
EPSS更新日: 2026-06-01 00:00:00
SSVCの情報
SSVCはカーネギーメロン大学ソフトウェア工学研究所が提案する脆弱性の評価手法です。ステークホルダーごとに脆弱性対応の優先度を決定することを支援します。
本サイトでは、CVE、KEV、EPSSの内容からExploitation(悪用状況)、Technical Impact(技術的影響)、Automatable(自動攻撃の可否)を判定します。
Exploitation: active
Technical Impact: high
Automatable: True
「CVE-2025-32433」は、Erlang/OTPのSSHサーバーコンポーネントにおける認証なしのリモートコード実行(RCE)の脆弱性です。この脆弱性は、SSHプロトコルメッセージの処理の不備に起因し、攻撃者が認証前に細工されたSSHパケットを送信することで、影響を受けるシステム上で任意のコードを実行することを可能にします。
この脆弱性は2025年4月16日に公開され、Proof-of-Concept (PoC) コードも公開されているため、悪用のリスクが高いとされています。 また、CISAのKnown Exploited Vulnerabilities (KEV) カタログにも登録されており、実際に攻撃に利用されている可能性が高いことが示唆されています。
1. 脆弱性の概要
1.1. 影響 攻撃者は認証されていない状態でSSHサーバー上で任意のコードを実行し、システムを完全に制御する可能性があります。これにより、機密情報の窃取、システムの改ざん、サービス拒否 (DoS) 攻撃、マルウェアやランサムウェアのインストールなど、深刻な被害が発生する可能性があります。SSHデーモンがroot権限で実行されている場合、システム全体が侵害される可能性があります。
1.2. 深刻度 この脆弱性のCVSSスコアは最高値である10.0(Critical)であり、最も高い深刻度に分類されます。 攻撃の複雑さは低く、認証不要で悪用可能です。
2. 対象となる環境
Erlang/OTPのSSHサーバーコンポーネントを搭載しているシステムが影響を受けます。Erlang/OTPは、通信およびネットワークアプライアンス、IoTデバイス、クラウドプラットフォーム、データベース(Apache CouchDB、Riak KV)、RabbitMQなどの分散システムやリアルタイムサービスで広く使用されています。 Cisco製品の一部も影響を受けることが確認されています。
2.1. 影響を受けるOSバージョン 影響を受ける特定のOSバージョンは、Erlang/OTPのバージョンに依存します。 * OTP-27系: OTP-27.3.3 未満 * OTP-26系: OTP-26.2.5.11 未満 * OTP-25系: OTP-25.3.2.20 未満 (または全てのOTP-25.3.2.20より前のバージョン)
Ubuntuでは、このCVEの優先度を「高」と位置付け、サポートされているバージョンのアップデートがリリースされています。
2.2. 影響を受ける設定 Erlang/OTPのネイティブSSHサーバーを実行しているシステムが影響を受けます。特に、ネットワークからアクセス可能なポートでOTP SSHインターフェースを有効にしているRabbitMQインスタンスや同様のErlangベースのサービスが危険にさらされます。
3. 影響を受けた時の兆候
SSH_message_channel_requestのようなメッセージタイプを含むSSHトラフィックの検出4. 推奨対策
4.1. 本対策 Erlang/OTPを以下のバージョンにアップデートすることを強く推奨します。 * OTP-27系: OTP-27.3.3 およびそれ以降のバージョン * OTP-26系: OTP-26.2.5.11 およびそれ以降のバージョン * OTP-25系: OTP-25.3.2.20 およびそれ以降のバージョン
4.2. 暫定回避策(緩和策) 直ちにパッチを適用できない場合、以下の暫定的な回避策を検討してください。 * SSHサーバーが不要な場合は無効にする。 * ファイアウォールルールを使用して、SSHサーバーへのアクセスを信頼できるIPアドレスに制限する。 * 追加の認証メカニズムを実装してSSHアクセスを保護する。 * SSHデーモンを最低限の権限で実行し、潜在的な被害範囲を制限する。 * ネットワークセグメンテーションを導入し、影響を最小限に抑える。
他に解説すべき観点
参照したサイト