Cisco Systems 发布了一份重要的安全公告,确认其产品组合中的多款产品受到了 Erlang/OTP SSH 服务器(CVE-2025-32433)中的远程代码执行(RCE)漏洞的影响。
这一漏洞的最高 CVSSv3.1 评分为 10.0,它使得未经身份验证的攻击者能够通过在身份验证过程中利用对 SSH 消息的不当处理,在易受攻击的系统上执行任意代码。
该漏洞影响了从网络编排工具到企业路由平台等关键基础设施组件,并且概念验证性的攻击代码已经在安全社区中流传。
Erlang SSH 服务器远程代码执行漏洞
该漏洞存在于 Erlang/OTP 对 SSH 协议(RFC 4252)的实现中,具体是在成功身份验证之前对通道请求消息的处理过程中。
攻击者可以通过发送特制的 SSH 数据包来利用这一漏洞,这些数据包能够绕过身份验证检查,从而直接访问 Erlang 运行时系统。
这使得攻击者能够使用 SSH 服务账户(通常是根用户或管理员级用户)的权限来执行操作系统命令。
Cisco 的公告强调,利用这一漏洞无需进行身份验证(CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H),这使得面向互联网的系统特别容易受到攻击。
Erlang/OTP 平台的并发模型加剧了这种风险,因为单个被攻陷的 SSH 连接可能会在集群环境中的分布式节点上生成恶意进程。
受影响的 Cisco 产品
| 风险因素 | 详情 |
| 受影响产品 | 网络服务编排器、超云核心、智能节点管理器、催化剂中心、智能物理层、ConfD 和 ConfD 基础版 |
| 影响 | 远程代码执行(RCE) |
| 利用漏洞前提条件 | – 运行易受攻击的 Erlang/OTP 版本 – 启用并可访问 SSH 守护进程 – 无需身份验证或用户交互 |
| CVSS 3.1 评分 | 10.0(严重) |
Cisco 已确定有 18 个产品系列正在接受积极调查,已确认受影响的产品包括:
1.网络服务编排器(NSO):对服务提供商的编排至关重要(CSCwo83796)
2.超云核心 – 订阅者微服务基础设施:5G 核心网络组件(CSCwo83747)
3.智能节点管理器 – 基于服务器或虚拟机的集中式应用程序
4.广域应用服务(WAAS):加速和优化基础设施(正在调查中)
5.催化剂中心(前身为 DNA 中心):企业网络管理枢纽(正在调查中)
值得注意的是,ConfD 和 ConfD 基础版网络自动化工具(CSCwo83759)存在漏洞,但由于配置防护措施,可避免受到远程代码执行的攻击。
已确认不受影响的产品包括 Cisco IOS XE 软件、安全防火墙管理中心和身份服务引擎。
Cisco 计划从 2025 年 5 月开始为 NSO 和 ConfD 等高优先级产品分阶段提供修复方案,不过大多数解决方案仍在开发中。
由于缺乏可行的解决方法,各机构不得不实施严格的网络控制措施,包括:
1.将管理接口与不可信网络进行隔离
2.实施防火墙规则,将 SSH 访问限制在可信的 IP 范围内
3.监控异常的身份验证模式
由于 Erlang/OTP 是关键基础设施组件的基础,这一漏洞给电信网络、云平台和企业 IT 环境带来了系统性风险。安全团队应:
1.对所有使用 Erlang/OTP 25.0 至 26.1 版本的系统进行审计
2.优先为面向互联网的 SSH 服务打补丁
3.实施运行时保护机制,以检测攻击模式
Cisco 的产品安全事件响应团队(PSIRT)确认正在积极监控该漏洞在现实中的被利用情况,不过截至 2025 年 4 月 24 日,尚未观察到恶意攻击活动。
这一事件是今年企业系统中出现的第三起与 SSH 相关的严重漏洞事件,突显了在分布式系统中进行协议级安全审计的必要性。
在各机构等待供应商提供补丁期间,重点转向了遏制策略和威胁搜寻行动,以识别潜在的攻击前活动。
发表评论
您还未登录,请先登录。
登录