Cisco: в ПО коммутаторов и маршрутизаторов компании присутствует критическая уязвимость в SSH-сервере из Erlang/OTP

Американский производитель сетевого оборудования Cisco подтвердил наличие критической уязвимости CVE-2025-32433 в ПО своих коммутаторов и маршрутизаторов в SSH-сервере из Erlang/OTP, позволяющей удалённое выполнение кода без аутентификации.

Примечательно, что, помимо сетевого оборудования Cisco, данная уязвимость затрагивает продукты компании Ericsson, а также различные IoT-системы, в которых применяется язык программирования Erlang.

Cisco подтвердила разработку патчей по ИБ программного обеспечения для устранения данной проблемы и настоятельно рекомендует пользователям установить патчи для Erlang/OTP версии 27.3.3, 26.2.5.11 или 25.3.2.20. В качестве временной меры до выпуска исправлений производитель советует ограничить доступ к SSH-порту уязвимых устройств, например, с помощью настроек брандмауэра. В компании добавили, что публичные эксплойты, использующие этот дефект, уже доступны.

Ранее специалисты по ИБ из Рурского университета в Бохуме (Германия) обнаружили в библиотеке ssh, входящей в состав SSH-сервера из Erlang/OTP, критическую уязвимость CVE-2025-32433, позволяющую удалённое выполнение кода без аутентификации на SSH-сервере, созданном с использованием уязвимой библиотеки. Эта уязвимость получила максимальные 10 баллов из 10 возможных по шкале оценки уязвимостей CVSS.

Решение Erlang/OTP (Open Telecom Platform, OTP) представляет собой фреймворк, содержащий набор библиотек, шаблонов проектирования для построения масштабируемых распределённых приложений на языке Erlang и инструментов, включая такие компоненты, как SSH-приложение для удалённого доступа.

Уязвимость CVE-2025-32433 затрагивает все устройства, на которых работает SSH-демон Erlang/OTP, а для её устранения пользователям рекомендуется оперативно обновиться