otp-ssh - RunkIntel

# OTP SSH Server > [!critical] Erlang/OTP SSH Server — componente SSH nativo do runtime Erlang com RCE não autenticado CVSS 10.0, afetando infraestrutura de telecomúnicações, sistemas distribuídos e plataformas de mensageria em escala global. ## Visão Geral **Erlang/OTP SSH Server** é o módulo de servidor SSH integrado ao runtime **Erlang/OTP**, a plataforma de programação concorrente e tolerante a falhas desenvolvida originalmente pela Ericsson. O Erlang/OTP é a base tecnológica de sistemas de telecomúnicações, servidores de mensageria (RabbitMQ, ejabberd), bancos de dados distribuídos (CouchDB, Riak) e plataformas de comunicação em tempo real. O módulo SSH é utilizado para administração remota segura desses sistemas. Em junho de 2025, [[cve-2025-32432|CVE-2025-32432]] (CVSS 10.0) expôs uma falha crítica no tratamento de mensagens do protocolo SSH: o servidor processava determinados tipos de mensagens de protocolo antes de completar a autenticação, permitindo que um atacante remoto executasse comandos arbitrários sem qualquer credencial. A exploração é trivial — não requer autenticação, credenciais válidas ou configurações específicas além de um servidor SSH OTP acessível. PoCs foram públicados públicamente em horas após a divulgação. O impacto potencial é massivo: qualquer sistema baseado em Erlang que use o módulo SSH para administração remota — incluindo infraestruturas de telecomúnicações de operadoras, servidores RabbitMQ de empresas de e-commerce e plataformas de mensageria em tempo real — está exposto. No LATAM, operadoras de telecomúnicações e fintechs são os segmentos com maior risco de exposição. > [!latam] Relevância Brasil/LATAM > Operadoras de telecomúnicações brasileiras (Claro, Vivo, TIM, Oi) utilizam infraestrutura Erlang em seus sistemas de sinalização e gestão de redes. Fintechs e plataformas de pagamento que usam RabbitMQ ou ejabberd também são afetadas. A exploração pode comprometer sistemas críticos de telecomúnicações nacionais. ## Vulnerabilidades Conhecidas | CVE | CVSS | Exploração | Patch | Data | |-----|------|------------|-------|------| | [[cve-2025-32432\|CVE-2025-32432]] | 10.0 | Ativa - RCE não autenticado, PoC público | Sim (OTP-27.3.3) | 2025-06-09 | %% ```dataview TABLE WITHOUT ID link(file.link, title) AS "Nota", cve-id AS "CVE", cvss-score AS "CVSS", exploit-type AS "Exploração", patch-date AS "Patch" FROM "vulnerabilities" WHERE contains(product, "OTP SSH") SORT patch-date DESC ``` %% ## TTPs Associadas - [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] - exploração do endpoint SSH OTP - [[t1059-004-unix-shell|T1059.004 - Unix Shell]] - execução de comandos via shell pós-exploração - [[t1068-exploitation-for-privilege-escalation|T1068 - Exploitation for Privilege Escalation]] - escalada de privilégio no sistema comprometido - [[t1210-exploitation-of-remote-services|T1210 - Exploitation of Remote Services]] - movimentação lateral em sistemas Erlang interconectados ## Detecção e Defesa - Atualizar para Erlang/OTP-27.3.3, OTP-26.2.5.11 ou OTP-25.3.2.20 imediatamente - Se atualização imediata não for possível, desabilitar o módulo SSH OTP e usar alternativas - Restringir acesso SSH OTP por firewall a IPs administrativos conhecidos - Monitorar conexões SSH em portas não-padrão usadas por sistemas Erlang - Aplicar [[m1051-update-software|M1051 - Update Software]] com inventário completo de serviços Erlang - Verificar dependências transitivas: RabbitMQ, ejabberd, CouchDB expõem SSH OTP ## Setores Afetados - [[telecom|Telecomúnicações]] - sistemas de sinalização e gestão de redes - [[technology|Tecnologia]] - plataformas de mensageria e sistemas distribuídos - [[financial|Financeiro]] - fintechs e plataformas de pagamento com RabbitMQ - [[critical-infrastructure|Infraestrutura Crítica]] - sistemas industriais com componentes Erlang ## Referências - [Erlang/OTP Security Advisory - CVE-2025-32433](https://www.erlang.org/news/168) - [NVD - CVE-2025-32432](https://nvd.nist.gov/vuln/detail/CVE-2025-32432) - [PoC Discussion - HackerNews](https://news.ycombinator.com) ## Notas Relacionadas **Vendor:** [[_erlang|Erlang/OTP]] **CVEs:** [[cve-2025-32432|CVE-2025-32432]] **TTPs:** [[t1190-exploit-public-facing-application|T1190]], [[t1059-004-unix-shell|T1059.004]], [[t1068-exploitation-for-privilege-escalation|T1068]] **Setores:** [[telecom|Telecomúnicações]], [[technology|Tecnologia]], [[financial|Financeiro]]