El problema radica en que cualquier instancia de RabbitMQ o servicios similares que utilicen Erlang y tengan habilitada la interfaz SSH de OTP en un puerto que sea accesible a través de la red son vulnerables a este ataque. Aunque RabbitMQ, por defecto, no requiere un servidor SSH para su funcionamiento, si esta funcionalidad está habilitada, los sistemas quedan expuestos a la posibilidad de un compromiso total del sistema, dado que los atacantes podrían ejecutar comandos a voluntad una vez que obtengan acceso.
Además de RabbitMQ, otros servicios implementados en Erlang/OTP, como Apache CouchDB y la base de datos RIAK KV, también están en riesgo. En particular, si CouchDB está configurado para permitir un shell remoto de Erlang, su interfaz se vuelve vulnerable. Es importante señalar que, incluso si la interfaz SSH no está expuesta a Internet, la existencia de esta vulnerabilidad implica que un atacante con acceso interno o lateral a la red podría explotar la vulnerabilidad para elevar sus privilegios en el servidor de la base de datos.
El contexto de esta vulnerabilidad se vuelve aún más grave, dado que hay código de explotación de prueba de concepto disponible públicamente, lo que facilita que los atacantes puedan realizar intentos de explotación en entornos vulnerables. Dado el acceso potencial a los servidores que ejecutan servicios críticos, esto podría tener consecuencias devastadoras para la integridad y la disponibilidad de los datos.
Por lo tanto, es fundamental que los administradores de sistemas y de redes que operan con Erlang/OTP evalúen sus entornos y realicen las actualizaciones necesarias para mitigar este riesgo. Las medidas recomendadas incluyen la deshabilitación de la interfaz SSH de OTP si no es necesaria, así como la aplicación de parches de seguridad a la brevedad posible para proteger los sistemas afectados. También se aconseja revisar la configuración de otros servicios que puedan estar utilizando Erlang para asegurarse de que no presenten vulnerabilidades similares.
En conclusión, la vulnerabilidad CVE-2025-32433 representa una amenaza significativa para los sistemas que emplean Erlang/OTP, en particular aquellos que utilizan la funcionalidad SSH, lo que enfatiza la importancia de la gestión proactiva de la seguridad en las arquitecturas que dependen de este entorno de programación. Las entidades deben adoptar un enfoque riguroso hacia las actualizaciones de seguridad, la revisión de configuraciones y la concienciación sobre las mejores prácticas de ciberseguridad para reducir el riesgo de explotación.
Enlace de la fuente, haz clic para tener más información