ISGroup Conseil en Cybersécurité

CVE-2025-32433 : Vulnérabilité critique d’exécution de code à distance (RCE) pré-authentification dans le serveur SSH d’Erlang/OTP

Une vulnérabilité critique a été découverte dans le composant serveur SSH d’Erlang/OTP, une technologie largement utilisée dans les infrastructures de télécommunications, les systèmes distribués et les plateformes en temps réel. La faille a reçu un score CVSS de 10, reflétant à la fois la facilité d’exploitation et l’impact grave qu’elle peut avoir sur les installations touchées.

Date21/04/2025 12:48:15
Informations
  • Tendance
  • Correctif disponible

Résumé technique

Le problème réside dans la manière dont le démon SSH intégré d’Erlang/OTP traite certains messages de protocole avant de terminer la poignée de main (handshake) d’authentification. En envoyant des paquets SSH_MSG_CHANNEL_OPEN et SSH_MSG_CHANNEL_REQUEST spécialement conçus immédiatement après l’établissement de la connexion TCP, un utilisateur non authentifié peut provoquer l’exécution de code Erlang arbitraire sur le serveur.

Points techniques clés :

  • Gestion des canaux pré-authentification : Le serveur SSH accepte et traite de manière erronée les messages relatifs aux canaux avant de vérifier les identifiants de l’utilisateur.

  • Exécution de code à distance : Des charges utiles malveillantes peuvent invoquer n’importe quelle fonction Erlang, par exemple pour écrire sur le système de fichiers ou lancer des processus shell.

  • Compromission totale : L’exploit ne nécessite ni compte utilisateur valide ni état de session, permettant la compromission complète du système, le vol de données ou des déplacements latéraux.

Recommandations

  1. Mise à jour immédiate
  • Utilisateurs d’Erlang/OTP 27 : mettre à jour vers OTP‑27.3.3
  • Utilisateurs d’Erlang/OTP 26 : mettre à jour vers OTP‑26.2.5.11
  • Utilisateurs d’Erlang/OTP 25 : mettre à jour vers OTP‑25.3.2.20
  1. Atténuation temporaire
  • Désactiver le composant serveur SSH d’Erlang s’il n’est pas nécessaire.
  • Dans le cas contraire, limiter l’accès via des règles de pare-feu aux seules adresses IP de confiance ou aux réseaux VPN.
  1. Renforcer le périmètre réseau
  • Appliquer des contrôles d’accès SSH au niveau du réseau (ex. pare-feu basé sur l’hôte, groupes de sécurité).
  • Surveiller tout paquet de canal pré-authentification inattendu dans les systèmes IDS/IPS.
  1. Améliorer la surveillance et l’audit
  • Activer la journalisation SSH en mode verbeux pour capturer les ouvertures de canaux et les requêtes exec anticipées.
  • Déclencher des alertes sur les modèles de trafic SSH anormaux ou anticipés.

[Callforaction-THREAT-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *