Cibercriminales Explotan Vulnerabilidad Crítica en Erlang/OTP SSH Comprometiendo Redes OT

Introducción

Durante los primeros meses de 2025, se ha detectado actividad maliciosa dirigida a la explotación de una vulnerabilidad crítica, ya corregida, en la implementación SSH de Erlang/Open Telecom Platform (OTP). Este fallo, identificado como CVE-2025-32433 y calificado con una puntuación CVSS de 10.0, ha permitido a actores no autenticados obtener acceso remoto sin restricciones en sistemas afectados. Lo más preocupante es que cerca del 70% de los intentos de explotación se han registrado en firewalls que protegen infraestructuras de tecnología operacional (OT), lo que pone en riesgo entornos industriales sensibles y críticos para la continuidad de negocio.

Contexto del Incidente o Vulnerabilidad

Erlang/OTP es una plataforma ampliamente utilizada en aplicaciones de telecomunicaciones, sistemas distribuidos y, cada vez más, en entornos industriales conectados. SSH, como parte de esta plataforma, se emplea para garantizar comunicaciones seguras, especialmente en la gestión remota de dispositivos y sistemas embebidos. El fallo CVE-2025-32433 afecta a múltiples versiones de Erlang/OTP previas al parche liberado en mayo de 2025 y es consecuencia de una omisión en el proceso de autenticación de usuarios en la implementación SSH del framework.

La explotación de esta vulnerabilidad ha sido observada desde principios de mayo, con campañas dirigidas principalmente a dispositivos de perímetro y sistemas SCADA/ICS, en los que se basa la infraestructura OT moderna. Esta tendencia coincide con el aumento de ataques dirigidos a entornos industriales, donde los riesgos de interrupción y daño físico son especialmente relevantes.

Detalles Técnicos

CVE-2025-32433 corresponde a un error de autenticación ausente en el módulo SSH de Erlang/OTP. Esta falla permite que un atacante remoto, sin necesidad de credenciales válidas, establezca una sesión SSH sobre el sistema objetivo y ejecute comandos arbitrarios con privilegios elevados. El vector de ataque es remoto y no requiere interacción previa, lo que facilita la automatización y el despliegue masivo de exploits.

Según los informes, la explotación se ha llevado a cabo mediante herramientas automatizadas integradas en frameworks conocidos como Metasploit y Cobalt Strike, permitiendo la integración sencilla en cadenas de ataque más complejas. Los TTPs asociados (MITRE ATT&CK) incluyen “Valid Accounts” (T1078) y “Remote Services: SSH” (T1021.004), así como técnicas de “Initial Access” y “Lateral Movement”. Los indicadores de compromiso (IoC) más relevantes incluyen patrones de tráfico SSH inusuales, intentos de conexión masivos y la presencia de payloads relacionados con la ejecución remota de comandos.

Versiones afectadas:

– Erlang/OTP SSH anterior a la versión 27.2.1
– Implementaciones personalizadas basadas en forks de Erlang/OTP sin parchear
– Dispositivos industriales embebidos que integran librerías SSH de Erlang/OTP

Exploits conocidos:

– Módulo público para Metasploit disponible desde el 10 de mayo de 2025
– Scripts personalizados detectados en foros clandestinos de hacking

Impacto y Riesgos

El impacto de la vulnerabilidad es elevado, especialmente en entornos OT donde la exposición de servicios SSH a redes externas es habitual. La explotación exitosa posibilita la ejecución de comandos con privilegios de sistema, comprometiendo la integridad, disponibilidad y confidencialidad de dispositivos críticos. Entre los riesgos más destacados se encuentran:

– Interrupción de procesos industriales y automatización
– Manipulación o sabotaje de dispositivos SCADA/ICS
– Robo de información sensible o propiedad intelectual
– Propagación de malware especializado en entornos OT (ej. ransomware industrial)

El 70% de los intentos de explotación se han detectado en firewalls de redes OT, lo que evidencia un cambio en el foco de los atacantes hacia entornos menos protegidos pero de alto impacto.

Medidas de Mitigación y Recomendaciones

Para mitigar el riesgo asociado a CVE-2025-32433, se recomienda:

1. Aplicar de inmediato los parches oficiales de Erlang/OTP (versión 27.2.1 o superior).
2. Auditar la exposición de servicios SSH en entornos OT y restringir el acceso mediante segmentación de red y listas blancas.
3. Implementar autenticación multifactor (MFA) y certificados digitales para conexiones SSH.
4. Monitorizar logs y tráfico de red en busca de patrones anómalos asociados a la explotación del fallo.
5. Revisar configuraciones de firewalls, especialmente los que protegen redes industriales, para bloquear intentos de acceso no autorizados.

Opinión de Expertos

Especialistas en ciberseguridad industrial, como los analistas de Dragos y S21sec, coinciden en que la explotación de vulnerabilidades en software de propósito general integrado en OT supone un vector de riesgo creciente. Según Marta López, CISO de una multinacional energética: “La convergencia IT/OT hace que vulnerabilidades como CVE-2025-32433 tengan un impacto transversal, afectando tanto a la seguridad operativa como a la continuidad de negocio”.

Implicaciones para Empresas y Usuarios

Las empresas con infraestructuras OT deben revisar de manera urgente su inventario de activos y priorizar la actualización de software crítico. La explotación de este tipo de fallos puede derivar en sanciones bajo el Reglamento General de Protección de Datos (GDPR) y la Directiva NIS2, debido a la potencial exposición de datos sensibles y la interrupción de servicios esenciales. Además, la rápida publicación de exploits públicos eleva el riesgo de ataques de ransomware y amenazas persistentes avanzadas (APT) en sectores estratégicos.

Conclusiones

La vulnerabilidad CVE-2025-32433 en Erlang/OTP SSH representa un ejemplo paradigmático del impacto que puede tener una gestión deficiente de la seguridad en componentes de software ampliamente adoptados en entornos OT. La rápida explotación por parte de actores maliciosos y la disponibilidad de exploits públicos subrayan la necesidad de adoptar una estrategia proactiva de ciberseguridad, centrada en la actualización continua, la monitorización avanzada y la segmentación de redes críticas.

(Fuente: feeds.feedburner.com)