Erlang/OTP CVE-2025-32433 (CVSS 10): Critical SSH Flaw Allows Unauthenticated RCE
2025/04/17 SecurityOnline — 通信/分散システム/リアルタイム・プラットフォームなどの領域で広く使用される、Erlang/OTP の SSH サーバ・コンポーネントに深刻な脆弱性が発見された。この脆弱性 CVE-2025-32433 は、悪用の容易さと潜在的な影響への考慮により、最高の CVSS 深刻度である 10.0 が割り当てられている。
Erlang について説明すると、Erlang はパワフルなプログラミング言語とランタイム・システムの組み合わせであり、高度なスケーラビリティ/フォールト・トレラント性/ソフト・リアルタイム性を備えるシステムを構築するために設計されている。
また、OTP (Open Telecom Platform) は、Erlang ランタイム・システムと、多数のコンポーネントによる、Erlang ライブラリ・スイートである。これらのテクノロジーは、高度な可用性と信頼性が求められる多数のアプリケーションの基盤となっている。
今回の脆弱性により、Erlang/OTP SSH サーバを実行する任意のホスト上で、未認証のリモート・コード実行 (RCE) が可能となり、有効な認証情報を必要としない攻撃者であっても、影響を受けるシステムの完全な制御を達成するという。
Ericsson の公式セキュリティ・アドバイザリには、「Erlang/OTP SSH サーバに深刻な脆弱性が確認された。この脆弱性により、攻撃者は認証を必要とせずに、リモート・コード実行を達成する可能性を手にする。この SSH プロトコルのメッセージ処理の欠陥を悪用する攻撃者は、影響を受けるシステムに不正アクセスし、有効な認証情報を用いることなく任意のコマンド実行の可能性を得る」と記されている。
Erlang/OTPチーム は、「Erlang/OTP SSH サーバを実行する、すべてのユーザーは、基盤となる Erlang/OTP のバージョンに関係なく、この脆弱性の影響を受ける。アプリケーションが Erlang/OTP SSH ライブラリを使用し、SSH アクセスを提供している場合には、影響を受けると想定してほしい」と警告している。
Erlang/OTPチーム は、この脆弱性を適切に開示した、ルール大学ボーフムの Fabian Bäumer/Marcel Maehren/Marcus Brinkmann/Jorg Schwenk に謝意を示している。
なお、Ericsson は、明確な緩和策を提供している:
- 速やかなアップデート:最も重要な対策は、パッチ適用済みの OTP-27.3.3/OTP-26.2.5.11/OTP-25.3.2.20 へのアップデートである。
- 一時的な回避策:修正バージョンへのアップグレードが完了するまでの間は、SSH サーバの無効化、もしくは、ファイアウォール・ルールを用いたアクセスのブロックが推奨される。速やかなアップデートが不可能な場合には、これらの一時的な対策を実施し、リスクを最小限に抑える必要がある。
このブログでは初登場の Erlang ですが、調べたところ、1986年に Ericsson が開発したものであり、そこから 39年も経っていることが分かりました。 2025年の時点では、Apache License で提供されているとのことです。Wikipedia では、「Erlangは、汎用/関数型の高水準コンカレント・プログラミング言語であり、また、ガベージコレクション機能を備えたランタイム・システムである。Erlangという用語は、Erlang/OTP (Open Telecom Platform) と同義に使用される。OTPは、Erlang ランタイムシステムであり、Erlang で記述された複数のコンポーネント (OTP) と、Erlang プログラムのための一連の設計原則で構成されている」と、解説されていました。Ericsson だから Erlang なのでしょうか?
IoT OT Security News 
You must be logged in to post a comment.