Multiple Cisco Tools at Risk from Erlang/OTP SSH Remote Code Execution Flaw
2024/04/24 gbhackers — Cisco が発行したのは、Erlang/OTP の SSH サーバを使用する製品群に存在する、深刻なリモート・コード実行 (RCE) の脆弱性に関する、重要なアドバイザリ (cisco-sa-erlang-otp-ssh-xyZZy) である。この脆弱性 CVE-2025-32433 (CVSS:10.0) の悪用に成功した未認証の攻撃者は、脆弱なデバイス上で任意のコード実行を達成し、企業のネットワーク/クラウド・インフラ/通信システムにリスクをもたらす。
脆弱性の概要
この脆弱性は、SSH メッセージの認証中に発生する不適切な処理に起因しており、攻撃者に対してセキュリティ・チェックの回避および、影響を受けるシステムの完全な制御を許すものである。
この脆弱性は Cisco の Wide Area Application Services (WAAS)/Network Services Orchestrator (NSO)/Catalyst Center (旧 DNA Center) および、複数のルーティング・プラットフォームに影響を与えるものだ。
通信および IoT システムで広く使用されるフレームワーク Erlang/OTP は、2025年4月16日の時点で、この問題を確認した。Cisco の調査により判明したのは、パッチ未適用のデバイスにおいて、この脆弱性がランサムウェア展開/データ窃取/業務妨害などに悪用される可能性があることだ。
影響を受ける Cisco 製品
Cisco は、影響を受けるシステムをグループに分類している:
- Network Services Orchestrator (NSO):パッチ提供予定:2025年5月 (CSCwo83796)
- ConfD/ConfD Basic:修正予定:2025年5月 (CSCwo83759)
- Ultra Cloud Core – Subscriber Microservices Infrastructure:評価中 (CSCwo83747)
| Product Category | Cisco Product | Cisco Bug ID | Fixed Release Available |
| Network Application, Service, and Acceleration | ConfD, ConfD Basic | CSCwo83759 | May 2025 |
| Network Management and Provisioning | Network Services Orchestrator (NSO) | CSCwo83796 | May 2025 |
| Smart PHY | CSCwo83751 | Not yet determined | |
| Routing and Switching – Enterprise and Service Provider | Intelligent Node Manager | CSCwo83755 | Not yet determined |
| Ultra Cloud Core – Subscriber Microservices Infrastructure | CSCwo83747 | Not yet determined |
たとえば、Smart PHY などの一部の製品は、未認証の SSH チャネル・リクエストを受け入れるが、コンフィグレーション上の安全策により、リモート・コード実行 には至らない。
Cisco は、影響範囲の評価を継続しているため、このアドバイザリを “暫定” としている。なお、回避策は存在しないため、Cisco は管理者たちに対して、以下の対応を強く推奨している:
- 更新情報の監視:パッチ・リリースのタイムラインについては、アドバイザリを確認してほしい。
- SSH アクセスの制限:不要な SSH インバウンド・トラフィックをブロックすることで、リスクを軽減できる。
- パッチ適用の優先順位付け:修正プログラムが提供され次第、速やかに適用してほしい。
SafeNet Technologies のサイバー・セキュリティアナリストである Priya Sharma は、「これは、認証を必要としないインターネット関連の脆弱性という、最悪のシナリオである。ユーザー組織は、標的型攻撃が差し迫っていると、想定する必要がある」と述べている。
この Erlang/OTP の脆弱性が浮き彫りにするのは、重要なインフラを支える、レガシー・フレームワークのリスクである。Erlang に依存している、通信事業者/クラウド事業者/IoT メーカーに対しては、緊急の監査の実施が推奨される。
最近の、オープンソース・ツールに対するエクスプロイトにより、サプライチェーンにおける脆弱性への監視が強化されている。今回の Cisco の情報開示は、それを受ける形で行われている。
米国の Cybersecurity and Infrastructure Security Agency (CISA) も、この脆弱性 CVE-2025-32433 を、Known Exploited Vulnerabilities (KEV) カタログに追加するだろうと予想されている。
広く利用されている、Erlang/OTP の脆弱性 CVE-2025-32433 が示すのは、サプライチェーンへの影響の大きさです。以前の Log4Shell (Apache Log4j2 の脆弱性 CVE-2021-44228) を、思い出した人も多いのではないでしょうか。さらに先週には、この脆弱性 CVE-2025-32433 に対する PoC エクスプロイトが 、AI により僅か数時間で作成されたという衝撃的な報告もありました。対象の Cisco 製品をご利用のチームは、十分にご注意ください。よろしければ、以下の関連記事も、Cisco で検索/Log4j で検索と併せて、ご参照ください。
2025/04/23: Erlang の CVE-2025-32433:AI が数時間で武器化
2025/04/18:Erlang/OTP の CVE-2025-32433:PoC がリリース
2025/04/17:Erlang/OTP の脆弱性 CVE-2025-32433 が FIX
IoT OT Security News 
You must be logged in to post a comment.