{"id":1675315,"date":"2025-04-17T21:33:36","date_gmt":"2025-04-17T21:33:36","guid":{"rendered":"https:\/\/teknomers.com\/es\/la-vulnerabilidad-critica-de-erlang-otp-ssh-cvss-10-0-permite-la-ejecucion-del-codigo-no-autorenticado\/"},"modified":"2025-04-17T21:33:41","modified_gmt":"2025-04-17T21:33:41","slug":"la-vulnerabilidad-critica-de-erlang-otp-ssh-cvss-10-0-permite-la-ejecucion-del-codigo-no-autorenticado","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/la-vulnerabilidad-critica-de-erlang-otp-ssh-cvss-10-0-permite-la-ejecucion-del-codigo-no-autorenticado\/","title":{"rendered":"La vulnerabilidad cr\u00edtica de Erlang\/OTP SSH (CVSS 10.0) permite la ejecuci\u00f3n del c\u00f3digo no autorenticado"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>17 de abril de 2025<\/span>\ue804<\/i>Ravie Lakshmanan<\/span><\/span>Vulnerabilidad \/ Seguridad de la red<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Se ha revelado una vulnerabilidad de seguridad cr\u00edtica en el Plataforma de telecomunicaciones Erlang\/Open (OTP)<\/a> Implementaci\u00f3n de SSH que podr\u00eda permitir que un atacante ejecute el c\u00f3digo arbitrario sin cualquier autenticaci\u00f3n bajo ciertas condiciones.<\/p>\n

La vulnerabilidad, rastreada como CVE-2025-32433<\/a><\/strong>se le ha dado el puntaje CVSS m\u00e1ximo de 10.0.<\/p>\n

“La vulnerabilidad permite que un atacante con acceso a la red a un servidor SSH Erlang\/OTP ejecute c\u00f3digo arbitrario sin autenticaci\u00f3n previa”, los investigadores de la Universidad de Ruhr Bochum Fabian B\u00e4umer, Marcus Brinkmann, Marcel Maehren y J\u00f6rg Schwenk Schwenk Schwenk Schwenk dicho<\/a>.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

El problema proviene del manejo inadecuado de mensajes de protocolo SSH que esencialmente permiten a un atacante enviar mensajes de protocolo de conexi\u00f3n antes de la autenticaci\u00f3n. La explotaci\u00f3n exitosa de las deficiencias podr\u00eda dar lugar a una ejecuci\u00f3n de c\u00f3digo arbitraria en el contexto del demonio SSH.<\/p>\n

Exacerbando a\u00fan m\u00e1s el riesgo, si el proceso de demonio se est\u00e1 ejecutando como ra\u00edz, permite al atacante tener un control total del dispositivo, a su vez, allanando el camino para el acceso no autorizado y la manipulaci\u00f3n de datos confidenciales o la negaci\u00f3n de servicio (DOS).<\/p>\n

Todos los usuarios que ejecutan un servidor SSH basado en la biblioteca Erlang\/OTP SSH probablemente se vean afectados por CVE-2025-32433. Se recomienda actualizar<\/a> a las versiones OTP-27.3.3, OTP-26.2.5.11 y OTP-25.3.2.20. Como soluciones temporales, el acceso a los servidores SSH vulnerables puede prevenirse utilizando reglas apropiadas de firewall.<\/p>\n

En una declaraci\u00f3n compartida con Hacker News, Mayuresh Dani, gerente de investigaci\u00f3n de seguridad en Qualys, describi\u00f3 la vulnerabilidad como extremadamente cr\u00edtica y que puede permitir que un actor de amenaza realice acciones como instalar ransomware o desviar los datos confidenciales.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

“Erlang se encuentra con frecuencia instalado en sistemas de alta disponibilidad debido a su soporte de procesamiento robusto y concurrente”, dijo Dani. “La mayor\u00eda de los dispositivos Cisco y Ericsson dirigen Erlang”.<\/p>\n

“Cualquier servicio que utilice la biblioteca SSH de Erlang\/OTP para acceso remoto, como los utilizados en dispositivos OT\/IoT, los dispositivos inform\u00e1ticos de borde son susceptibles a la explotaci\u00f3n. Actualizaci\u00f3n a los Erlang\/OTP fijos o las versiones respaldadas por los proveedores remediar\u00e1n la vulnerabilidad. Si las organizaciones necesitan m\u00e1s tiempo para obtener actualizaciones, deber\u00edan restringir el puerto SSH el acceso a los usuarios autorizados solos”. “.”. “.<\/p>\n

\u00bfEncontr\u00f3 este art\u00edculo interesante? S\u00e9guenos Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> Para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n