문의하기
블로그

CVE-2025-32433: Erlang/OTP SSH 원격 코드 실행 취약점 경고

최근 Erlang/OTP SSH 서버에서 심각한 원격 코드 실행(RCE) 취약점이 발견되었다. CVE-2025-32433으로 등록된 이 취약점은 사전 인증 SSH 메시지를 부적절하게 처리하는 데서

2025. 04. 30.

최근 Erlang/OTP SSH 서버에서 심각한 원격 코드 실행(RCE) 취약점이 발견되었다. 
CVE-2025-32433으로 등록된 이 취약점은 사전 인증 SSH 메시지를 부적절하게 처리하는 데서 비롯되며, 공격자가 인증 없이 임의 코드를 실행할 수 있는 위협적인 보안 결함이다. 특히 Erlang/OTP는 통신사, IoT, OT(운영 기술) 등 핵심 인프라에 널리 활용되고 있어 대규모 피해 가능성이 제기되고 있다. 이번 글에서는 해당 취약점의 주요 내용을 정리하고, Criminal IP Asset Search를 통해 인터넷에 노출된 Erlang/OTP SSH 서버 식별 및 대응 방안을 제시한다.

CVE-2025-32433: 인증 없는 SSH 프로토콜 취약점

이번 취약점은 Erlang/OTP SSH 데몬이 특정 사전 인증 메시지를 적절히 검증하지 않고 처리하는 과정에서 발생한다. 이로 인해 공격자는 악의적으로 구성된 프로토콜 메시지를 전송함으로써 SSH 데몬 권한(대부분 루트 권한)으로 명령을 실행할 수 있게 된다.

영향을 받는 버전

아래 버전보다 낮은 Erlang/OTP 환경은 모두 취약하며, 공식 패치가 발표된 버전은 다음과 같다:

  • OTP-27.3.3 이상
  • OTP-26.2.5.11 이상
  • OTP-25.3.2.20 이상

특히 OTP-27.3.2, OTP-26.2.5.10, OTP-25.3.2.19 이전 버전은 직접적인 영향을 받기 때문에, 신속한 업데이트가 요구된다.

공격 시나리오 및 위협

Horizon3 Attack Team은 이 취약점이 너무 쉽게 재현된다고 말하고 있다
Horizon3 Attack Team은 이 취약점이 너무 쉽게 재현된다고 말하고 있다

이 취약점은 이미 Horizon3 Attack Team에 의해 재현되었으며,PoC(Proof of Concept) 코드가 2025년 4월 17일 Pastebin에 공개된 상태다.
실제 공격은 다음과 같은 방식으로 이루어질 수 있다:

  1. 공격자는 인증 없이 SSH 연결을 시도
  2. 사전 인증 SSH 메시지를 조작해 전송
  3. 취약점이 유효할 경우 루트 권한으로 임의 명령 실행
  4. 시스템 장악, 데이터 유출, 랜섬웨어 배포 가능

Criminal IP Asset Search를 활용한 노출 서버 탐지

인터넷에 노출된 Erlang/OTP SSH 서버는 Criminal IP Asset Search를 통해 빠르게 식별 가능하다.
아래 쿼리를 활용하면, 해당 취약점에 노출될 가능성이 있는 서버들을 효과적으로 탐색할 수 있으며, 검색 결과를 통해 공개된 서버 수, 지역 분포, 취약점 이력 등 다양한 정보를 시각적으로 확인할 수 있다.

Criminal IP Search Query: “SSH-2.0-Erlang”

Criminal IP Asset Search에 "SSH-2.0-Erlang"을 검색한 결과
Criminal IP Asset Search에 “SSH-2.0-Erlang”을 검색한 결과

2025년 4월 29일 기준으로 해당 쿼리를 사용해 확인한 결과, 총 122건의 노출된 Erlang/OTP SSH 서버가 탐지되었다. 이 중에는 이미 취약한 상태로 다수의 CVE 영향을 받는 자산이 다수 포함되어있었다. 

Criminal IP Asset Search에서 조회한 한 IP주소는 Erlang/OTP 기반 SSH 데몬이 실행중
Criminal IP Asset Search에서 조회한 한 IP주소는 Erlang/OTP 기반 SSH 데몬이 실행중

한 IP주소를 클릭해보니, 해당 자산의 배너는 Erlang/OTP 기반 SSH 데몬이 실행 중임을 명확히 나타내며, 이는 현재 공개된 CVE-2025-32433의 영향을 받을 수 있는 구조임을 의미한다. 이 IP주소는 공개 포트가 5개가 노출되어 있으며, 네덜란드 암스테르담에 위치하고 있다. 탐지된 취약점도 37개로, 이 중 Exploti DB 기반 취약점이 9개로 확인된다. 

이는 단일 IP 상에서 취약 버전의 SSH 서비스가 구동 중이며다수의 고위험 취약점이 존재하는 환경이 인터넷에 노출되어 있다는 것을 보여주는 대표적인 사례다.
특히, Erlang/OTP 기반 SSH 서버에서 취약점이 탐지되는 경우, 루트 권한 탈취 및 백도어 설치로 이어질 수 있기 때문에 빠른 대응이 필요하다.

완화 조치 및 대응 방안

Erlang/OTP SSH를 사용 중인 조직은 다음과 같은 대응 방안을 즉시 시행해야 한다:

  • 보안 패치 적용: OTP-27.3.3 / 26.2.5.11 / 25.3.2.20 이상으로 업데이트
  • SSH 포트 접근 제한: 방화벽을 통해 외부 접근 차단
  • SSH 비활성화: SSH 기능이 불필요한 경우 완전히 비활성화
  • IP 화이트리스트 설정: 신뢰된 IP주소만 접근 허용
  • 로그 및 트래픽 모니터링: 비정상적인 SSH 접속 시도를 실시간 탐지

FAQ – 자주 묻는 질문

Q1. CVE-2025-32433 취약점은 어떤 환경에서 영향을 받나요? 

Erlang/OTP의 SSH 서버 컴포넌트를 실행하는 모든 환경에서 영향을 주며, 특히 기본적으로 루트 권한으로 데몬이 실행되는 환경에서 위험합니다. 

Q2. CVE-2025-32433 취약점에 대한 임시 대응 방법이 있나요?

패치가 어려운 경우, SSH 포트를 차단하거나 Erlang/OTP SSH 기능을 비활성화하고, 접근 가능한 IP를 제한하는 방식으로 최소화할 수 있습니다.

결론

CVE-2025-32433은 PoC까지 공개된 고위험 RCE 취약점으로, 즉각적인 대응이 요구된다. 특히 Erlang/OTP가 사용되는 운영 인프라에서 시스템 탈취, 악성코드 유포 등으로 이어질 가능성이 높다.

Criminal IP Asset Search를 활용하면 노출된 자산을 빠르게 식별하고, 조직의 사이버 공격 표면을 최소화하는 데 실질적인 도움을 받을 수 있다.
관련하여 이반티 VPN 취약점 CVE-2025-22457 대응 전략: CTI 기반 공격 표면 탐지을 참고할 수 있다.

데이터 출처: Criminal IP (https://www.criminalip.io/ko), X (https://x.com/Horizon3Attack), CyberWire (https://thecyberwire.com/podcasts/daily-podcast/2290/notes), GBHackers (https://gbhackers.com/poc-released-for-erlang-otp-ssh-rce-vulnerability/)  

관련 글 : https://www.criminalip.io/ko/knowledge-hub/blog/27423

CVE-2025-32433: Erlang/OTP SSH 원격 코드 실행 취약점 경고 | CIP Blog | Criminal IP