Новости 10.0 по шкале CVSS: как получить доступ к серверу Erlang без входа

[NewsMaker]

Уязвимость в корне SSH ставит под удар устройства Cisco и Ericsson.

---

---

В реализации SSH-библиотеки Erlang/Open Telecom Platform (OTP) Для просмотра ссылки Войди или Зарегистрируйся критическая Для просмотра ссылки Войди или Зарегистрируйся , позволяющая выполнять произвольный код без аутентификации.

Проблема Для просмотра ссылки Войди или Зарегистрируйся (оценка CVSS: 10.0) кроется в некорректной обработке протокольных сообщений SSH. Злоумышленник может отправлять специфические сообщения ещё до стадии аутентификации и таким образом добиться выполнения произвольного кода в процессе SSH-сервера. Особенно опасно то, что, если демон работает с правами root, атакующий получает полный контроль над системой, включая доступ к конфиденциальной информации и возможность выведения устройства из строя (Denial of Service, DoS).

Недостаток затрагивает все версии Для просмотра ссылки Войди или Зарегистрируйся , использующие уязвимую SSH-библиотеку. Особенно подвержены риску устройства, где Erlang используется как основа для надёжных и отказоустойчивых систем. Такие системы распространены в промышленной автоматизации, сетевом оборудовании, а также в IoT- и Edge-инфраструктуре. В частности, эксперты отмечают широкое применение Erlang на устройствах Cisco и Ericsson.

Для устранения угрозы необходимо срочно обновить платформу до следующих версий: OTP-27.3.3, OTP-26.2.5.11 или OTP-25.3.2.20. Если обновление невозможно в ближайшее время, рекомендуется ограничить доступ к SSH-серверу через брандмауэр, разрешив подключения только от доверенных источников.

По Для просмотра ссылки Войди или Зарегистрируйся Qualys, уязвимость способна стать точкой входа для установки вымогательского ПО или кражи данных. Также подчёркивается, что характер уязвимости делает её особенно опасной для систем, где важны стабильность и высокая доступность — именно таких, где Erlang применяется чаще всего.