由德國波鴻魯爾大學研究人員揭露的CVE-2025-32433,是Erlang/OTP SSH函式庫的一項重大安全漏洞,CVSS v3評分達10.0分,屬最嚴重等級的遠端程式碼執行漏洞。該漏洞來自SSH協定訊息處理邏輯缺陷,允許未經驗證的用戶透過精心設計的協定封包,在尚未完成身分驗證的階段,繞過安全機制直接執行指令,進而全面控制或癱瘓目標系統。
根據Erlang官方於GitHub公告的資安通報,受影響版本涵蓋OTP-25、OTP-26與OTP-27分支的多個次要版本,當系統或應用層採用Erlang/OTP提供的SSH伺服器模組,極可能處於高風險環境。官方已針對各分支釋出修補版本,分別為OTP-25.3.2.20、OTP-26.2.5.11與OTP-27.3.3,建議用戶盡快升級,並在未能立即修補的情況下,考慮先行停用SSH服務或透過防火牆限制外部存取。
此漏洞主要涉及伺服器在處理未經驗證用戶所送出的SSH協定訊息,缺乏應有的封鎖行為。根據程式碼修補內容,後續版本已加入RFC 4252所規範的驗證前封包處理邏輯,當伺服器接收到不應出現的訊息時,會主動中斷連線並記錄異常訊息。這項修正從根本上防止未經授權的封包被處理並進入後續執行流程。
引起關注的另一層面,則是有研究人員實驗性地使用GPT-4等人工智慧模型,在尚無公開攻擊程式的情況下,透過閱讀通報內容與比對修補差異,自動生成概念驗證攻擊碼,並成功於本機測試環境觸發漏洞。這代表人工智慧工具雖已具備協助完成漏洞分析、行為比對與初步攻擊模擬的能力,但在提升資安研究效率提升的同時,也加快漏洞武器化的速度。
Erlang/OTP廣泛用於即時通訊、分散式系統與高並行應用場景。對於具有SSH遠端管理功能的環境,該漏洞的潛在影響重大,建議開發者檢視服務架構中採用的Erlang/OTP SSH模組,並依照官方建議進行修補與風險控管。
目前此漏洞仍處於NVD補充分析階段,尚未公布完整的CWE分類與攻擊細節,但已有數個第三方單位陸續針對其可能危害發表觀察與攻防測試紀錄。
熱門新聞
2025-05-12
2025-05-12
2025-05-12
2025-05-12
2025-05-13
2025-05-12
