Vulnerabilidad critica en el servidor SSH Erlang / OTP de Cisco
El pasado 07 de abril de 2025 Cisco público un nuevo aviso de seguridad de Erlang/OTP, que afecta directamente al servidor SSH. Este aviso abordó una vulnerabilidad critica con un impacto significativo, identificada como CVE-2025-32433 y con una puntuación de CVSS de 10, lo que implica un riesgo alto de explotación.
La vulnerabilidad afecta a algunas versiones del servidor SSH integradas en la biblioteca Erlang/OTP, y el problema se origina debido a validaciones incompletas de mensajes SSH durante la fase previa a la autenticación. Según el estándar SSH, ciertos mensajes como las de apertura de canal o solicitudes de ejecución de comandos, se deben de procesar únicamente después de una autenticación y validación exitosa de seguridad. Sin embargo, esta vulnerabilidad no valida adecuadamente esta secuencia, lo que podría permitir que un atacante envíe sesiones SSH sin autentificación y que ejecute código arbitrario sin credenciales validas.
En caso de que se logre la explotación exitosa de la vulnerabilidad el atacante podría obtener el control del sistema, incluyendo la posibilidad de acceder a información confidencial, modificar configuraciones críticas o incluso deshabilitar servicios esenciales, lo que representa un riesgo significativo para la integridad y disponibilidad del sistema.
Soluciones alternativas:
- Deshabilitar temporalmente el servidor SSH.
- Restringir el acceso al puerto SSH mediante reglas del firewall o ACLs.
- Monitorear las conexiones SSH.
Indicadores de Compromiso:
| Version afectada | Version corregida |
| OTP-27.3.2 y anteriores | OTP-27.3.3 |
| OTP-26.2.5.10 y anteriores | OTP-26.2.5.11 |
| OTP-25.3.2.19 e inferiores | OTP-25.3.2.20 |
Recomendaciones
- Si cuenta con algún producto Cisco Erlang/OTP de los siguientes:
- Actualice Cisco versión OTP-27.3.2 a la versión OTP-27.3.3
- Actualice Cisco versión OTP-26.2.5.10 a la versión OTP-26.2.5.11
- Actualice Cisco versión OTP-25.3.2.19 a la versión OTP-25.3.2.20
- Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque
- Auditar herramientas de acceso remoto. (NIST CSF, 2024)
- Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024)
- Limitar estrictamente el uso de los protocolos SMB y RDP.
- Realizar auditorías de seguridad. (NIST CSF, 2024)
- Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)
- Tener filtros de correo electrónico y spam.
- Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
- Realizar copias de seguridad, respaldos o back-ups constantemente.
- Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos.
- Revisar continuamente los privilegios de los usuarios.
- Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante).
- Habilitar la autenticación multifactor.
Referencias
- Multiple Cisco Products Unauthenticated Remote Code Execution in Erlang/OTP SSH Server: April 2025. (2025, Mayo 7). Cisco. Recuperado el 08 de mayo del 2025, en: https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-erlang-otp-ssh-xyZZy
- Administrador. (2025, Abril 30). CVE-2025-32433: Ejecución remota de código en el servidor SSH de Erlang/OTP. Tarlogic Security. Recuperado el 08 de mayo del 2025, en: https://www.tarlogic.com/es/blog/cve-2025-32433-servidor-ssh-erlang-otp/
