CVE-2025-32433 : Erlang/OTP SSHのリモートコード実行脆弱性に関する警告

最近、Erlang/OTP SSHサーバーに深刻なリモートコード実行（RCE）の脆弱性が発見されました。 CVE-2025-32433 として登録された脆弱性は、SSHの事前認証メッセージを不適切に処理することから始まり、攻撃者が認証なしで任意のコードを実行できる脅威的なセキュリティ欠陥です。特に、Erlang/OTPは通信事業者、IoT、OT（運営技術）などの重要インフラに広く活用されており、大規模な被害の可能性が提起されています。本記事では、CVE-2025-32433に関する詳細を整理し、Criminal IPのIT資産検索を活用してインターネット上に公開されたErlang/OTP SSHサーバーの特定方法と対応策をご紹介します。

CVE-2025-32433 : 認証なしのSSHプロトコルの脆弱性

今回の脆弱性は、Erlang/OTP SSHデーモンが特定の事前認証メッセージを適切に検証せずに処理することから発生します。これにより、攻撃者は悪意的に構成されたプロトコルメッセージを送信することで、SSHデーモンの権限（主にroot権限）を通じてコマンドを実行できるようになります。

影響を受けるバージョン

以下のバージョン未満のErlang/OTP環境はすべて影響を受けます。公式パッチが適用されたバージョンは以下の通りです。

• OTP-27.3.3以上
• OTP-26.2.5.11以上
• OTP-25.3.2.2.20以上

特にOTP-27.3.2、OTP-26.2.5.10、OTP-25.3.2.2.19以前のバージョンは直接影響を受けるため、迅速なアップデートが必要です。

攻撃シナリオと脅威

この脆弱性はすでにHorizon3 Attack Teamによって再現されており、2025年4月17日にPoC（概念実証）コードがPastebinに公開されました。

実際の攻撃は次のような方法で行われる可能性があります。

1. 攻撃者は認証なしでSSH接続を試みる
2. SSHの事前認証メッセージを改ざんして送信する
3. 脆弱性が有効な場合、root権限で任意のコマンドを実行する
4. システム掌握、データ漏洩、ランサムウェアの配布が可能になる

Criminal IPのIT資産検索を活用した公開サーバーの検出

インターネットに公開されたErlang/OTP SSHサーバーは、Criminal IPのIT資産検索を通じて素早く特定できます。

以下のクエリを用いて、CVE-2025-32433の脅威にさらされる可能性のあるサーバーを効果的に探索することができ、検索結果を通じて公開されたサーバーの数、地域分布、脆弱性の履歴など様々な情報を視覚的に確認することができます。

Criminal IPの検索クエリ：“SSH-2.0-Erlang”

• https://www.criminalip.io/ja/asset/search?query=SSH-2.0-Erlang

2025年4月24日を基準に、当クエリを使用して確認した結果、合計122件の公開中のErlang/OTP SSHサーバーが検出されました。この中には、すでに脆弱な状態で多数のCVEに影響されている資産が多く含まれていました。

あるIPアドレスをクリックすると、その資産のバナーはErlang/OTPベースのSSHデーモンが実行中であることを明確に示しており、つまり、これは現在CVE-2025-32433の影響を受けかねない構造であることを意味します。このIPアドレスは、5つのオープンポートが発見されており、オランダのアムステルダムに位置していました。検出された脆弱性も37個で、このうちExploti DBベースの脆弱性が9個確認されました。

これは、単一のIP上で脆弱なバージョンのSSHサービスが稼働中であり、多数の高リスクの脆弱性が存在する環境がインターネットに公開されていることを示す代表的な事例です。
特に、Erlang/OTPベースのSSHサーバーに脆弱性が検出された場合、root権限の奪取やバックドアの設置につながる可能性があるため、迅速な対応が必要です。

緩和および対応策

Erlang/OTP SSHを使用している組織は、以下の対応策を直ちに実施する必要があります。

• セキュリティパッチの適用：OTP-27.3.3・26.2.5.11・25.3.2.2.20以上にアップデートする
• SSHポートへのアクセス制限：ファイアウォールを介して外部アクセスをブロックする
• SSHの無効化：SSH機能が不要な場合、完全に無効化する
• IPホワイトリストの設定：信頼されたIPアドレスのみアクセスを許可する
• ログとトラフィックの監視：異常なSSHへのアクセス試みをリアルタイムで検知する

FAQ（よくある質問）

Q1. CVE-2025-32433 はどのような環境で影響を与えますか？

Erlang/OTPのSSHサーバーコンポーネントを実行するすべての環境で影響を与え、特に、基本的にroot権限でデーモンが実行される環境が危険です。

Q2. CVE-2025-32433 に対する一時的な対応策がありますか？

パッチの適用が難しい場合、SSHポートをブロックしたり、Erlang/OTP SSH機能を無効にしたり、アクセス可能なIPを制限する方法で被害を最小限に抑えることができます。

結論

CVE-2025-32433は、PoCまで公開された高リスクのRCE脆弱性であり、即時の対応が求められます。特に、Erlang/OTPが使用される運用インフラでは、システム掌握、マルウェアの拡散などにつながる可能性が高くなります。

Criminal IPのIT資産検索を活用することで、インターネット上に公開された資産を迅速に特定し、組織のサイバー攻撃対象領域を最小限に抑えるための実質的な支援を得ることができます。

関連してIvanti VPN脆弱性 「CVE-2025-22457」の対応戦略：CTIベース攻撃対象領域の検知をご参照ください。

---

データ提供：Criminal IP（https://www.criminalip.io/ja）、X（https://x.com/Horizon3Attack）、CyberWire（https://thecyberwire.com/podcasts/daily-podcast/2290/notes）、GBHackers（https://gbhackers.com/poc-released-for-erlang-otp-ssh-rce-vulnerability/）

ご参照：

https://www.criminalip.io/ja/knowledge-hub/blog/5675