Khai thác lỗ hổng Erlang/OTP để nhắm mục tiêu vào mạng OT

11:41 | 18/08/2025

Một lỗ hổng Erlang/OTP được phát hiện vào giữa tháng 4/2025 hiện đang bị khai thác trong thực tế, với nhiều cuộc tấn công nhắm vào các mạng công nghệ vận hành (OT).

Erlang/OTP là tập hợp các thư viện, phần mềm trung gian và các công cụ khác được thiết kế để tạo ra các hệ thống thời gian thực yêu cầu tính khả dụng cao, chẳng hạn như các ứng dụng ngân hàng, thương mại điện tử và truyền thông.

Các nhà nghiên cứu công ty an ninh mạng Palo Alto Networks (Mỹ) phát hiện rằng việc triển khai SSH của Erlang/OTP bị ảnh hưởng bởi một lỗ hổng nghiêm trọng có thể cho phép thực thi mã tùy ý trong daemon SSH, có khả năng cung cấp cho kẻ tấn công quyền truy cập đầy đủ vào máy chủ, truy cập trái phép và thao túng dữ liệu nhạy cảm.

Với mã định danh CVE-2025-32433 (điểm CVSS: 10.0), lỗ hổng nghiêm trọng này ảnh hưởng đến tất cả các máy chủ SSH chưa được vá sử dụng thư viện Erlang/OTP SSH. Thực tế, lỗ hổng bảo mật đã được giải quyết bằng bản cập nhật OTP-27.3.3, OTP-26.2.5.11 và OTP-25.3.2.20. Các phiên bản trước đó đều bị ảnh hưởng.

Cơ quan An ninh mạng và Cơ sở hạ tầng Mỹ (CISA) đã thêm CVE-2025-32433 vào danh mục Lỗ hổng bảo mật đã biết (KEV) vào ngày 9/6, nhưng dường như không có báo cáo công khai nào mô tả việc khai thác lỗ hổng này.

Tuy nhiên vào ngày 11/8, Palo Alto Networks đã đăng một bài viết trên blog nêu chi tiết các nỗ lực khai thác mà gã khổng lồ an ninh mạng này đã chứng kiến kể từ ngày 01/5. Theo Palo Alto Networks, hoạt động khai thác đã tăng mạnh trong giai đoạn từ ngày 01 đến ngày 9/5, với 70% các cuộc tấn công mà công ty quan sát được nhắm vào các mạng OT. Phần lớn các vụ phát hiện được ghi nhận tại Mỹ.

“Môi trường OT và 5G sử dụng Erlang/OTP nhờ khả năng chịu lỗi và mở rộng cho các hệ thống có tính khả dụng cao với thời gian downtime mức tối thiểu. Do các yêu cầu về tuân thủ và an toàn, quản trị viên OT và 5G có xu hướng sử dụng triển khai SSH của Erlang/OTP để quản lý máy chủ từ xa, điều này khiến lỗ hổng CVE-2025-32433 trở thành mối lo ngại đặc biệt trong các loại mạng này”, Palo Alto Networks giải thích.

Các nhà nghiên cứu phát hiện các dịch vụ Erlang/OTP SSH kết nối trên Internet thông qua nhiều cổng khác nhau, bao gồm cổng TCP 2222, thường được sử dụng cho các sản phẩm tự động hóa công nghiệp cũ. Phân tích dữ liệu đo từ xa của Palo Alto Networks cho thấy 85% nỗ lực khai thác nhắm vào các lĩnh vực chăm sóc sức khỏe, nông nghiệp, truyền thông và giải trí và công nghệ cao, tập trung chủ yếu ở Mỹ, Canada, Brazil, Ấn Độ và Úc.

Công ty an ninh mạng nhấn mạnh, mặc dù phụ thuộc nhiều vào OT, các ngành tiện ích, năng lượng, khai thác mỏ, hàng không vũ trụ và quốc phòng không cho thấy bất kỳ tác nhân OT trực tiếp nào gây ra mối đe dọa cụ thể này. Các lĩnh vực như dịch vụ chuyên nghiệp và pháp lý chủ yếu bị tác động bởi mạng công nghệ thông tin của họ.

Các nhà nghiên cứu đã xác định được một số phần mềm độc hại mà kẻ tấn công cố gắng phát tán thông qua việc khai thác lỗ hổng CVE-2025-32433, bao gồm reverse shell cho phép truy cập từ xa trái phép.

Ngoài ra, trong một số trường hợp, các nhà nghiên cứu phát hiện việc sử dụng máy chủ từ xa có cổng thường được liên kết với các máy chủ dùng cho liên lạc botnet. Quá trình rà quét do Palo Alto thực hiện cho thấy hàng trăm dịch vụ Erlang/OTP hiện có trên các mạng công nghiệp đang bị lộ và dễ bị tấn công.

Để lại bình luận