CVE-2025-32433은 Erlang/OTP의 SSH 서버 구현에서 발견된 치명적인 원격 코드 실행(RCE) 취약점으로, 인증 없이 공격자가 임의의 코드를 실행할 수 있는 문제입니다. 이 취약점은 CVSS 점수 10.0으로 평가되었으며, 본 취약점은 Erlang/OTP 환경에서 SSH 모듈이 활성화된 경우에만 직접적인 영향을 미치며, 고객 시스템 구성에 따라 취약점 노출 여부는 다를 수 있습니다.
Erlang/OTP가 설치되어 있지 않다면 CVE-2025-32433의 영향을 받지 않습니다.
이 취약점은 **Erlang/OTP의 내장 SSH 서버 구현체(즉, :ssh 애플리케이션)에서 발생한 것입니다.
즉, 다음 조건을 모두 만족해야 이 취약점에 직접적으로 노출됩니다:
-
Erlang/OTP가 시스템에 설치되어 있고
-
Erlang의
ssh모듈을 사용한 SSH 서버 기능이 활성화되어 있으며 -
해당 SSH 포트가 외부에 노출되어 있을 경우
RabbitMQ, CouchDB, Riak 등 Erlang 기반으로 개발된 소프트웨어의 일부 구성에서 해당 SSH 모듈이 사용될 수 있으므로, 구성별 점검이 필요합니다.
취약점 개요
-
취약점 ID: CVE-2025-32433
-
영향 받는 버전:
-
OTP-27.3.2 및 이전 버전
-
OTP-26.2.5.10 및 이전 버전
-
OTP-25.3.2.19 및 이전 버전
-
-
패치된 버전:
-
OTP-27.3.3
-
OTP-26.2.5.11
-
OTP-25.3.2.20
-
-
취약점 설명: SSH 프로토콜 메시지 처리 과정에서 인증 전에 특정 메시지를 허용하는 결함이 있어, 공격자가 인증 없이 임의의 명령을 실행할 수 있습니다.
-
패치버전 (ahnlab.com 발췌)
- Erlang/OTP 27.3.3: https://www.erlang.org/patches/otp-27.3.3
- Erlang/OTP 26.2.5.11: https://www.erlang.org/patches/otp-26.2.5.11
- Erlang/OTP 25.3.2.20: https://www.erlang.org/patches/otp-25.3.2.20
영향 및 위험성
-
인증 불필요: 공격자는 SSH 서버에 접근할 수 있는 네트워크 위치에 있으면 인증 없이 공격이 가능합니다.
-
루트 권한 실행: SSH 데몬이 루트 권한으로 실행 중인 경우, 공격자는 시스템 전체를 제어할 수 있습니다.
-
광범위한 영향 범위:
-
Erlang/OTP를 사용하는 다양한 시스템 및 애플리케이션
-
RabbitMQ, CouchDB, Riak 등 Erlang 기반 소프트웨어
-
Cisco, Ericsson 등의 네트워크 장비 및 IoT/OT 디바이스
-
대응 방안
1. 즉시 패치 적용
Erlang/OTP 공식 사이트 또는 사용 중인 소프트웨어의 벤더를 통해 다음 버전으로 업데이트하세요:
-
OTP-27.3.3
-
OTP-26.2.5.11
-
OTP-25.3.2.20
2. 임시 조치 (패치 적용이 어려운 경우)
-
SSH 서버 비활성화: 해당 SSH 서버를 일시적으로 중지합니다.
-
방화벽 설정 강화: SSH 포트(기본 22번)에 대한 접근을 신뢰할 수 있는 IP로 제한합니다.
-
네트워크 접근 제어: VPN 등을 통해 SSH 접근을 제한합니다.
3. 취약점 탐지 및 모니터링
-
취약한 버전 식별: 네트워크 내에서 Erlang/OTP SSH 서버의 버전을 확인하여 취약한 인스턴스를 식별합니다.
-
로그 모니터링: 비정상적인 SSH 접속 시도를 탐지하기 위해 로그를 지속적으로 모니터링합니다.
-
보안 솔루션 활용: IDS/IPS, EDR 등을 통해 의심스러운 활동을 탐지하고 대응합니다.
추가 점검 포인트
다음 명령어를 통해 시스템에 Erlang이 설치되어 있는지 확인해보세요.
erl -version # 또는
which erl # 위치 확인
패키지 관리자를 통한 확인
- RHEL/CentOS/DNF:
dnf list installed | grep erlang
- Ubuntu/Debian:
dpkg -l | grep erlang
댓글
댓글 0개
댓글을 남기려면 로그인하세요.