Se ha observado que los actores maliciosos explotan una descompostura de seguridad crítica ahora rompida que impacta la plataforma Erlang/Telecom Open Platform (OTP) a principios de mayo de 2025, con aproximadamente el 70% de las detecciones que se originan en los firewalls que protegen las redes de tecnología operativa (OT).
La vulnerabilidad en cuestión es CVE-2025-32433 (puntaje CVSS: 10.0), un problema de autenticación faltante que podría ser abusado por un atacante con paso a la red a un servidor ERLANG/OTP SSH para ejecutar código gratuito. Fue parcheado en abril de 2025 con versiones OTP-27.3.3, OTP-26.2.5.11 y OTP-25.3.2.20.
Luego, en junio de 2025, la Agencia de Seguridad de Ciberseguridad e Infraestructura de los Estados Unidos (CISA) agregó la descompostura a su conocido catálogo de vulnerabilidades explotadas (KEV), basado en evidencia de explotación activa.
“En el corazón de las capacidades de comunicación segura de Erlang/OTP se encuentra su implementación nativa de SSH, responsable de las conexiones cifradas, transferencias de archivos y, lo más importante, la ejecución de comandos”, dijeron los investigadores de Palo Parada Networks 42 Investigadores Adam Robbie, yiheng y, dicen Malav Vyas, Cecilia Hu, Matthew Tennis y Zhanhao Chen.
“Un defecto en esta implementación permitiría a un atacante con paso a la red para ejecutar código gratuito en sistemas vulnerables sin requerir credenciales, presentando un peligro directo y severo a los activos expuestos”.
El estudio de la compañía de ciberseguridad de los datos de telemetría ha revelado que más del 85% de los intentos de exploit han señalado principalmente sectores de atención médica, agricultura, medios y entretenimiento y incorporación tecnología en los Estados Unidos, Canadá, Brasil, India y Australia, entre otros.
En los ataques observados, la explotación exitosa de CVE-2025-32433 es seguido por los actores de amenaza que usan conchas inversas para obtener paso remoto no calificado a las redes de destino. Actualmente no se sabe quién está detrás de los esfuerzos.
“Esta exposición generalizada en puertos específicos industriales indica una superficie de ataque general significativa en las redes OT”, dijo la Mecanismo 42. “El estudio de las industrias afectadas demuestra varianza en los ataques”.
“Los atacantes intentan explotar la vulnerabilidad en ráfagas cortas de incorporación intensidad. Estos están apuntando desproporcionadamente a las redes OT e intentando ceder a los servicios expuestos a través de los puertos de TI e industriales”.
