Selon Palo Alto Networks Unit 42, des tentatives d’exploitation actives visent CVE-2025-32433, une vulnérabilité critique d’exécution de code à distance (CVSS 10.0) affectant le démon SSH d’Erlang/OTP.

• Vulnérabilité et impact. La faille repose sur une mauvaise application d’état dans l’implémentation SSH d’Erlang/OTP, permettant le traitement de messages du protocole de connexion SSH (codes >= 80) avant la fin de l’authentification. Des attaquants non authentifiés peuvent ainsi exécuter des commandes arbitraires. Unit 42 note que 70 % des tentatives proviennent de pare-feu protégeant des réseaux OT, avec un impact notable sur les secteurs santé, éducation et haute technologie. 🚨

• Techniques observées. Les charges utiles identifiées incluent des reverse shells exploitant des descripteurs de fichiers pour des connexions TCP, ainsi que des modes interactifs Bash redirigeant vers des hôtes distants. Les acteurs de menace emploient des callbacks DNS via de l’OAST (Out-of-Band Application Security Testing) pour valider à l’aveugle l’exécution de code. Des salves concentrées d’attaques visent des ports TCP, dont 2222, recoupant des usages en environnements industriels.

• Infrastructure et signal faible. L’infrastructure d’attaque s’appuie sur des sous-domaines aléatoires hébergés sous le domaine dns.outbound.watchtowr[.]com, afin d’obtenir des signaux de callback discrets et difficilement détectables. 🛰️

• Correctifs. Les organisations sont invitées à appliquer les correctifs vers OTP 27.3.3, 26.2.5.11 ou 25.3.2.20 et ultérieures.

• IOCs et TTPs.

  • IOCs:
    • Domaine de callback OAST: dns.outbound.watchtowr[.]com (sous-domaines aléatoires)
    • Ports ciblés: TCP dont 2222
  • TTPs:
    • Exploitation de l’improper state enforcement dans l’SSH d’Erlang/OTP (traitement de messages >= 80 avant authentification)
    • Reverse shells via descripteurs de fichiers (TCP)
    • Bash en mode interactif avec redirections vers des hôtes distants
    • Callbacks DNS de type OAST pour validation de RCE à l’aveugle

Il s’agit d’une analyse de menace visant à documenter l’exploitation active de la vulnérabilité, les techniques employées, les secteurs touchés et les versions corrigées.

🧠 TTPs et IOCs détectés

TTPs

[“Exploitation de l’improper state enforcement dans l’SSH d’Erlang/OTP (traitement de messages >= 80 avant authentification)”, ‘Reverse shells via descripteurs de fichiers (TCP)’, ‘Bash en mode interactif avec redirections vers des hôtes distants’, “Callbacks DNS de type OAST pour validation de RCE à l’aveugle”]

IOCs

[‘Domaine de callback OAST: dns.outbound.watchtowr[.]com (sous-domaines aléatoires)’, ‘Ports ciblés: TCP dont 2222’]

🔗 Source originale : https://unit42.paloaltonetworks.com/erlang-otp-cve-2025-32433/

🖴 Archive : https://web.archive.org/web/20250811221125/https://unit42.paloaltonetworks.com/erlang-otp-cve-2025-32433/