MÜNCHEN (IT BOLTWISE) – Eine schwerwiegende Sicherheitslücke in der SSH-Implementierung der Erlang/Open Telecom Platform (OTP) wurde aufgedeckt, die es Angreifern ermöglicht, unter bestimmten Bedingungen ohne Authentifizierung beliebigen Code auszuführen.
Die kürzlich entdeckte Sicherheitslücke in der Erlang/Open Telecom Platform (OTP) SSH-Implementierung hat die IT-Sicherheitswelt in Alarmbereitschaft versetzt. Diese Schwachstelle, die als CVE-2025-32433 verfolgt wird, hat die höchstmögliche CVSS-Bewertung von 10.0 erhalten. Forscher der Ruhr-Universität Bochum, darunter Fabian Bäumer und Marcus Brinkmann, haben diese kritische Lücke identifiziert, die es einem Angreifer mit Netzwerkzugang ermöglicht, ohne vorherige Authentifizierung beliebigen Code auf einem Erlang/OTP SSH-Server auszuführen.
Das Problem liegt in der fehlerhaften Verarbeitung von SSH-Protokollnachrichten, die es einem Angreifer ermöglichen, Verbindungsprotokollnachrichten vor der Authentifizierung zu senden. Diese Schwachstelle kann zu einer Ausführung von beliebigem Code im Kontext des SSH-Daemons führen. Besonders riskant wird es, wenn der Daemon-Prozess mit Root-Rechten läuft, da dies dem Angreifer volle Kontrolle über das Gerät verschafft und den Weg für unbefugten Zugriff auf sensible Daten oder Denial-of-Service-Angriffe ebnet.
Betroffen sind alle Nutzer, die einen SSH-Server auf Basis der Erlang/OTP SSH-Bibliothek betreiben. Es wird dringend empfohlen, auf die Versionen OTP-27.3.3, OTP-26.2.5.11 und OTP-25.3.2.20 zu aktualisieren. Als vorübergehende Maßnahme können Zugriffe auf gefährdete SSH-Server durch geeignete Firewall-Regeln verhindert werden. Mayuresh Dani, Sicherheitsforscher bei Qualys, beschreibt die Schwachstelle als extrem kritisch und warnt, dass sie es einem Angreifer ermöglicht, Ransomware zu installieren oder sensible Daten abzuziehen.
Erlang wird häufig auf Hochverfügbarkeitssystemen eingesetzt, da es robuste und parallele Verarbeitung unterstützt. Eine Vielzahl von Cisco- und Ericsson-Geräten nutzt Erlang. Dienste, die die SSH-Bibliothek von Erlang/OTP für den Fernzugriff verwenden, wie in OT/IoT-Geräten oder Edge-Computing-Geräten, sind anfällig für Ausnutzung. Die Aktualisierung auf die behobenen Erlang/OTP-Versionen oder von Anbietern unterstützte Versionen wird die Schwachstelle beheben. Organisationen, die mehr Zeit für die Installation von Updates benötigen, sollten den SSH-Portzugang auf autorisierte Benutzer beschränken.
Die Entdeckung dieser Schwachstelle wirft ein Licht auf die Notwendigkeit, Sicherheitspraktiken in der Softwareentwicklung zu überdenken. Besonders in einer Zeit, in der die Vernetzung von Geräten und Systemen exponentiell zunimmt, ist die Sicherstellung der Integrität und Sicherheit von Kommunikationsprotokollen von entscheidender Bedeutung. Die Industrie muss sich darauf konzentrieren, Sicherheitslücken proaktiv zu identifizieren und zu beheben, um das Vertrauen in digitale Infrastrukturen zu stärken.
- Die besten Bücher rund um KI & Robotik!
- Die besten KI-News kostenlos per eMail erhalten!
- Zur Startseite von IT BOLTWISE® für aktuelle KI-News!
- Service Directory für AI Adult Services erkunden!
- IT BOLTWISE® kostenlos auf Patreon unterstützen!
- Aktuelle KI-Jobs auf StepStone finden und bewerben!
Stellenangebote
Experte Datenschutz - Schwerpunkt Online Marketing und KI (m/w/d)
Wissenschaftliche:r Mitarbeiter:in (f/m/d) Bildung, Simulation & Künstliche Intelligenz
Solution Architect (m/w/d) KI & Innovation
Lead Architect (f/m/d) AI Automation
- Die Zukunft von Mensch und MaschineIm neuen Buch des renommierten Zukunftsforschers und Technologie-Visionärs Ray Kurzweil wird eine faszinierende Vision der kommenden Jahre und Jahrzehnte entworfen – eine Welt, die von KI durchdrungen sein wird
- Künstliche Intelligenz: Expertenwissen gegen Hysterie Der renommierte Gehirnforscher, Psychiater und Bestseller-Autor Manfred Spitzer ist ein ausgewiesener Experte für neuronale Netze, auf denen KI aufbaut
- Obwohl Künstliche Intelligenz (KI) derzeit in aller Munde ist, setzen bislang nur wenige Unternehmen die Technologie wirklich erfolgreich ein
- Wie funktioniert Künstliche Intelligenz (KI) und gibt es Parallelen zum menschlichen Gehirn? Was sind die Gemeinsamkeiten von natürlicher und künstlicher Intelligenz, und was die Unterschiede? Ist das Gehirn nichts anderes als ein biologischer Computer? Was sind Neuronale Netze und wie kann der Begriff Deep Learning einfach erklärt werden?Seit der kognitiven Revolution Mitte des letzten Jahrhunderts sind KI und Hirnforschung eng miteinander verflochten
Du hast einen wertvollen Beitrag oder Kommentar zum Artikel "Kritische Sicherheitslücke in Erlang/OTP SSH ermöglicht Codeausführung ohne Authentifizierung" für unsere Leser?
#Sophos
Es werden alle Kommentare moderiert!
Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen.
Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte.
Du willst nichts verpassen?
Du möchtest über ähnliche News und Beiträge wie "Kritische Sicherheitslücke in Erlang/OTP SSH ermöglicht Codeausführung ohne Authentifizierung" informiert werden? Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den RSS-Hauptfeed oder IT BOLTWISE® bei Google News wie auch bei Bing News abonnieren.
Nutze die Google-Suchmaschine für eine weitere Themenrecherche: »Kritische Sicherheitslücke in Erlang/OTP SSH ermöglicht Codeausführung ohne Authentifizierung« bei Google Deutschland suchen, bei Bing oder Google News!