Một lỗ hổng CVE nghiêm trọng, được định danh là CVE-2025-32433 với điểm CVSS 10.0, đã được phát hiện trong daemon Secure Shell (SSH) của Open Telecom Platform (OTP) thuộc ngôn ngữ lập trình Erlang. Lỗ hổng này cho phép thực thi mã từ xa (Remote Code Execution – RCE) mà không cần xác thực. Kẻ tấn công có thể gửi các tin nhắn giao thức kết nối SSH với mã lớn hơn hoặc bằng 80 đến các cổng SSH đang mở, vốn chỉ được xử lý sau khi xác thực thành công.
Lỗ hổng CVE-2025-32433 ảnh hưởng đến các phiên bản Erlang/OTP trước OTP-27.3.3, OTP-26.2.5.11 và OTP-25.3.2.20. Nguy cơ này đặc biệt nghiêm trọng đối với các cơ sở hạ tầng trọng yếu và mạng công nghệ vận hành (OT), nơi Erlang/OTP thường được triển khai nhờ khả năng chịu lỗi và mở rộng trong các hệ thống đồng thời.
Chi tiết kỹ thuật và Cơ chế khai thác
Triển khai SSH gốc trong OTP được sử dụng rộng rãi trong viễn thông, hệ thống tài chính và môi trường 5G, giúp thiết lập các kết nối mã hóa, truyền tệp và thực thi lệnh. Việc thực thi trạng thái không đúng cách này tạo ra một đường dẫn trực tiếp để thực thi mã tùy ý mà không cần thông tin đăng nhập. Cụ thể, vấn đề nằm ở việc cho phép xử lý các thông điệp giao thức SSH (có mã >= 80) trước khi quá trình xác thực hoàn tất.
Tác động và Phạm vi của CVE-2025-32433
Dữ liệu quét toàn cầu từ tháng 4 năm 2025 cho thấy 275 máy chủ khác nhau đã phơi bày 326 dịch vụ Erlang/OTP SSH dễ bị tổn thương trên internet. Các dịch vụ này thường hoạt động trên các cổng không chuẩn như TCP 2222, vốn trùng lặp với nhắn tin Ethernet/IP trong tự động hóa công nghiệp. Điều này làm mờ ranh giới giữa bề mặt tấn công của IT và OT.
Theo báo cáo của Unit42 Unit42, các nỗ lực khai thác nhắm vào CVE-2025-32433 đã tăng đột biến từ ngày 1 đến ngày 9 tháng 5 năm 2025. Dữ liệu từ xa cho thấy các cuộc tấn công đang diễn ra trong thực tế, bao gồm cả việc sử dụng các payload reverse shell để thiết lập quyền truy cập từ xa trái phép.
Hoạt động Khai thác Thực tế và IOCs
Một payload được quan sát đã tận dụng các bộ mô tả tệp để tạo kết nối TCP gắn với các shell tương tác. Một payload khác chuyển hướng đầu vào/đầu ra của Bash đến các máy chủ từ xa. Hoạt động này thường liên quan đến các trung tâm chỉ huy và kiểm soát botnet.
Phân tích sâu hơn đã phát hiện ra các chỉ số dựa trên DNS, chẳng hạn như các cuộc gọi gethostbyname đến các tên miền con ngẫu nhiên dưới dns.outbound.watchtowr.com. Điều này cho thấy hoạt động kiểm tra bảo mật ứng dụng ngoài băng tần (OAST) để xác thực RCE mù và trích xuất dữ liệu.
Các Chỉ số Thỏa hiệp (Indicators of Compromise – IOCs):
- Địa chỉ IP:
146.103.40.203(thường là cổng 6667) - Miền (Subdomain pattern):
*.dns.outbound.watchtowr.com
Phân bố Địa lý và Ngành nghề Bị Ảnh hưởng
Phân bố địa lý cho thấy Hoa Kỳ, Brazil và Pháp là những quốc gia có nhiều dịch vụ bị phơi nhiễm nhất. Chữ ký khai thác đã được kích hoạt 3.376 lần trên toàn cầu, trong đó 70% bắt nguồn từ tường lửa mạng OT.
Các quốc gia như Nhật Bản (tương quan OT 99.74%), Hoa Kỳ (71.15%) và các quốc gia khác bao gồm Hà Lan và Brazil cho thấy tác động OT cao. Điều này phản ánh các ngành công nghiệp đã trưởng thành về kỹ thuật số với môi trường IT/OT tích hợp.
Về mặt ngành công nghiệp, y tế, nông nghiệp, truyền thông và giải trí, công nghệ cao và giáo dục phải đối mặt với các cuộc tấn công không tương xứng. Trong đó, giáo dục chiếm 72.7% tổng số lần kích hoạt và 88.4% trong bối cảnh OT.
Xu hướng Theo Thời gian
Các xu hướng thời gian cho thấy hoạt động tăng đột biến, đạt đỉnh vào các ngày 3, 6, 8 và 9 tháng 5. Trong những khoảng thời gian này, các kích hoạt OT thường vượt quá 80% số lần phát hiện. Điều này cho thấy các chiến dịch có mục tiêu khai thác phân đoạn yếu và các thiết bị ICS bị phơi nhiễm.
Biện pháp Giảm thiểu CVE-2025-32433
Để giảm thiểu rủi ro từ lỗ hổng CVE-2025-32433, các tổ chức cần khẩn trương nâng cấp lên các phiên bản Erlang/OTP đã được vá: OTP-27.3.3, OTP-26.2.5.11, OTP-25.3.2.20 hoặc các phiên bản mới hơn. Việc áp dụng bản vá bảo mật này là hành động ưu tiên hàng đầu.
Trong thời gian chờ đợi bản vá hoặc nếu không thể cập nhật ngay lập tức, các biện pháp tạm thời có thể được áp dụng:
- Vô hiệu hóa máy chủ SSH của Erlang/OTP.
- Triển khai các hạn chế tường lửa để chỉ cho phép các nguồn đáng tin cậy truy cập cổng SSH.
Lỗ hổng này là một ví dụ điển hình về những rủi ro leo thang từ sự hội tụ của IT/OT. Các lỗ hổng phần mềm trong các công cụ đa năng như Erlang/OTP có thể nhanh chóng trở thành mối đe dọa hoạt động trong các lĩnh vực phi truyền thống. Điều này nhấn mạnh sự cần thiết phải tăng cường khả năng hiển thị, cập nhật phòng chống xâm nhập và giám sát các chỉ số thỏa hiệp.
Việc thiếu vắng các phát hiện trong các ngành tiện ích, năng lượng, khai thác mỏ và quốc phòng có thể chỉ ra khoảng trống trong hệ thống đo lường từ xa (telemetry) chứ không phải là khả năng miễn nhiễm. Điều này đặt ra yêu cầu đánh giá lại toàn bộ bề mặt tấn công của các tổ chức.
Hoạt động khai thác tích cực nhấn mạnh sự chuyển dịch chiến lược của các đối tượng tấn công theo hướng thâm nhập OT. Việc này có thể thông qua di chuyển ngang từ các thiết bị doanh nghiệp bị xâm nhập. Do đó, việc xây dựng các hệ thống phòng thủ tích hợp là cực kỳ quan trọng để bảo vệ cơ sở hạ tầng trọng yếu.
