CVSS 10.0: SSH без паролей превратил промышленность в мишень для хакеров
NewsMakerОдин баг в SSH ломает промышленные сети от США до Австралии.
Исследователи зафиксировали, что критический изъян в реализации SSH стека Erlang/Open Telecom Platform начали активно использовать ещё в начале мая 2025 года; около 70% срабатываний пришлись на межсетевые экраны, защищающие промышленные сегменты . Кампания шла уже после выхода исправлений: патчи появились в апреле в версиях OTP-27.3.3, OTP-26.2.5.11 и OTP-25.3.2.20.
Уязвимости присвоен идентификатор CVE-2025-32433 и максимальная оценка CVSS 10.0. Речь идёт об отсутствующей аутентификации в нативной реализации SSH: имея сетевой доступ к службе Erlang/OTP, злоумышленник способен запускать произвольный код без каких-либо учётных данных. С учётом того, что встроенный SSH отвечает не только за шифрованные сессии, но и за передачу файлов и удалённое выполнение команд, подобный дефект напрямую угрожает всем открытым инстансам.
В июне 2025 года CISA добавило CVE-2025-32433 в каталог KEV , подтвердив наличие подтверждённых случаев эксплуатации. Аналитики Palo Alto Networks Unit 42 — Адам Робби, Йихэн Ань, Малав Вьяс, Сесилия Ху, Мэттью Теннис и Чжанхао Чэнь — подчёркивают: сбой в этой подсистеме открывает дорогу к внедрению без паролей, что превращает уязвимые узлы в лёгкие цели.
Телеметрия показывает, что более 85% попыток пришлись на медицину, сельское хозяйство, медиа и индустрию высоких технологий. География широка: США, Канада, Бразилия, Индия, Австралия и другие регионы. Наблюдались короткие серии интенсивных обращений, нацеленные прежде всего на сети ОТ, причём злоумышленники пробовали достучаться как до привычных ИТ-портов, так и до специализированных промышленных сервисов.
При успешном проникновении использовались обратные шеллы для получения удалённого доступа и закрепления внутри инфраструктуры жертвы, после чего начинались разведка, выведение данных и перемещение между узлами. Принадлежность группы, стоящей за волной, пока не установлена.
Открытые сервисы на портах, типичных для промышленных систем, показывают, что в OT-сетях по всему миру остаётся огромная поверхность атаки. Характер налётов варьировался, но общая картина одинакова: короткие всплески активности, явный перекос в сторону ОТ и попытки эксплуатации одновременно через ИТ-и промышленные шлюзы — всё это говорит о продуманной тактике противника, ориентированной на быстрое захватывание уязвимых точек до того, как администраторы успеют развернуть обновления.
Исследователи зафиксировали, что критический изъян в реализации SSH стека Erlang/Open Telecom Platform начали активно использовать ещё в начале мая 2025 года; около 70% срабатываний пришлись на межсетевые экраны, защищающие промышленные сегменты . Кампания шла уже после выхода исправлений: патчи появились в апреле в версиях OTP-27.3.3, OTP-26.2.5.11 и OTP-25.3.2.20.
Уязвимости присвоен идентификатор CVE-2025-32433 и максимальная оценка CVSS 10.0. Речь идёт об отсутствующей аутентификации в нативной реализации SSH: имея сетевой доступ к службе Erlang/OTP, злоумышленник способен запускать произвольный код без каких-либо учётных данных. С учётом того, что встроенный SSH отвечает не только за шифрованные сессии, но и за передачу файлов и удалённое выполнение команд, подобный дефект напрямую угрожает всем открытым инстансам.
В июне 2025 года CISA добавило CVE-2025-32433 в каталог KEV , подтвердив наличие подтверждённых случаев эксплуатации. Аналитики Palo Alto Networks Unit 42 — Адам Робби, Йихэн Ань, Малав Вьяс, Сесилия Ху, Мэттью Теннис и Чжанхао Чэнь — подчёркивают: сбой в этой подсистеме открывает дорогу к внедрению без паролей, что превращает уязвимые узлы в лёгкие цели.
Телеметрия показывает, что более 85% попыток пришлись на медицину, сельское хозяйство, медиа и индустрию высоких технологий. География широка: США, Канада, Бразилия, Индия, Австралия и другие регионы. Наблюдались короткие серии интенсивных обращений, нацеленные прежде всего на сети ОТ, причём злоумышленники пробовали достучаться как до привычных ИТ-портов, так и до специализированных промышленных сервисов.
При успешном проникновении использовались обратные шеллы для получения удалённого доступа и закрепления внутри инфраструктуры жертвы, после чего начинались разведка, выведение данных и перемещение между узлами. Принадлежность группы, стоящей за волной, пока не установлена.
Открытые сервисы на портах, типичных для промышленных систем, показывают, что в OT-сетях по всему миру остаётся огромная поверхность атаки. Характер налётов варьировался, но общая картина одинакова: короткие всплески активности, явный перекос в сторону ОТ и попытки эксплуатации одновременно через ИТ-и промышленные шлюзы — всё это говорит о продуманной тактике противника, ориентированной на быстрое захватывание уязвимых точек до того, как администраторы успеют развернуть обновления.