Une nouvelle faille de sécurité critique dans Erlang/OTP met en péril des milliers de systèmes dans le monde. Référencée sous le code CVE-2025-32433, cette vulnérabilité permet à un attaquant d’exécuter du code arbitraire via SSH sans aucune authentification. Affectant directement les serveurs SSH utilisant Erlang/OTP, cette faille obtient un score CVSS alarmant de 10.0, soit le plus élevé sur l’échelle de gravité. Si vous administrez des infrastructures réseau ou travaillez avec des systèmes connectés, cette menace nécessite une réaction immédiate pour éviter tout piratage informatique ou accès non autorisé.
Une vulnérabilité qui permet l’exécution de code à distance sans authentification
Origine de la faille CVE-2025-32433
Des chercheurs de l’université de Ruhr à Bochum ont mis en évidence une mauvaise gestion du protocole SSH dans l’implémentation d’Erlang/OTP. En envoyant certaines requêtes SSH malformées avant l’authentification, un attaquant est capable d’injecter et d’exécuter du code directement sur le serveur ciblé. Ce comportement exploite une faille logique fondamentale dans le traitement des messages du protocole.
L’enjeu est important : si le processus SSH tourne avec les privilèges root, l’attaquant obtient le contrôle total de la machine. Cela peut conduire au vol de données sensibles, à l’installation de rançongiciels, ou encore à une interdiction de service (DoS).
Dispositifs concernés par cette vulnérabilité
La faille touche potentiellement toutes les applications et systèmes exploitant la bibliothèque SSH d’Erlang/OTP. Cela inclut notamment les appareils des secteurs OT/IoT, les infrastructures edge computing, ainsi que de nombreux équipements Cisco et Ericsson. Ces derniers utilisent Erlang pour sa robustesse et sa capacité à gérer des traitements concurrents sur des systèmes haute disponibilité.
Correctifs et mesures de protection recommandées
Versions corrigées disponibles
Les équipes d’Erlang/OTP ont publié des mises à jour pour corriger cette faille critique. Il est vivement recommandé d’installer dès maintenant les versions suivantes :
- OTP-27.3.3
- OTP-26.2.5.11
- OTP-25.3.2.20
Ces patchs comblent la faille CVE-2025-32433 et protègent les systèmes contre les attaques exploitant ce vecteur.
Solutions temporaires et bonnes pratiques
Dans l’attente d’un déploiement complet des correctifs, il est recommandé de restreindre l’accès au port SSH aux seuls utilisateurs autorisés via des règles de pare-feu. Cela permet de limiter l’exposition des services vulnérables sur Internet et de contenir les risques d’exploitation.
Les entreprises doivent également revoir leur politique de sécurité, notamment pour les services connectés, et envisager une surveillance proactive des tentatives de connexion suspectes.
Une exploitation facilitée par la connaissance des protocoles réseau
Apprendre à anticiper les techniques des attaquants
Pour comprendre en profondeur comment une vulnérabilité de ce type peut être exploitée, il est pertinent de maîtriser les bases des protocoles comme SSH. Notre livre pour hacker propose un éclairage complet sur les failles courantes et les techniques de hacking éthique, basé sur des scénarios réels. Parfait pour ceux qui veulent apprendre à hacker et renforcer leurs systèmes contre ce type de menace.
Formation et sensibilisation en cybersécurité
Le risque d’exploitation est d’autant plus élevé que ces vulnérabilités peuvent être lancées sans besoin d’accès préalable. C’est pourquoi la formation continue des administrateurs réseau et des équipes DevOps est une étape essentielle. Il s’agit non seulement de déployer des correctifs, mais aussi de comprendre les vecteurs d’attaque à travers une veille active.
Chez CyberCare, nous accompagnons les entreprises dans la gestion des risques informatiques, de l’analyse de vulnérabilités au verrouillage des accès réseau les plus sensibles.
