Se ha observado que los actores maliciosos explotan una falla de seguridad crítica ahora rompida que impacta la plataforma Erlang/Telecom Open Platform (OTP) a principios de mayo de 2025, con aproximadamente el 70% de las detecciones que se originan en los firewalls que protegen las redes de tecnología operativa (OT).
La vulnerabilidad en cuestión es CVE-2025-32433 (puntaje CVSS: 10.0), un problema de autenticación faltante que podría ser abusado por un atacante con acceso a la red a un servidor ERLANG/OTP SSH para ejecutar código arbitrario. Fue parcheado en abril de 2025 con versiones OTP-27.3.3, OTP-26.2.5.11 y OTP-25.3.2.20.
Luego, en junio de 2025, la Agencia de Seguridad de Ciberseguridad e Infraestructura de los Estados Unidos (CISA) agregó la falla a su conocido catálogo de vulnerabilidades explotadas (KEV), basado en evidencia de explotación activa.
«En el corazón de las capacidades de comunicación segura de Erlang/OTP se encuentra su implementación nativa de SSH, responsable de las conexiones cifradas, transferencias de archivos y, lo más importante, la ejecución de comandos», dijeron los investigadores de Palo Alto Networks 42 Investigadores Adam Robbie, yiheng y, dicen Malav Vyas, Cecilia Hu, Matthew Tennis y Zhanhao Chen.
«Un defecto en esta implementación permitiría a un atacante con acceso a la red para ejecutar código arbitrario en sistemas vulnerables sin requerir credenciales, presentando un riesgo directo y severo a los activos expuestos».
El análisis de la compañía de ciberseguridad de los datos de telemetría ha revelado que más del 85% de los intentos de exploit han señalado principalmente sectores de atención médica, agricultura, medios y entretenimiento y alta tecnología en los Estados Unidos, Canadá, Brasil, India y Australia, entre otros.
En los ataques observados, la explotación exitosa de CVE-2025-32433 es seguido por los actores de amenaza que usan conchas inversas para obtener acceso remoto no autorizado a las redes de destino. Actualmente no se sabe quién está detrás de los esfuerzos.
«Esta exposición generalizada en puertos específicos industriales indica una superficie de ataque global significativa en las redes OT», dijo la Unidad 42. «El análisis de las industrias afectadas demuestra varianza en los ataques».
«Los atacantes intentan explotar la vulnerabilidad en ráfagas cortas de alta intensidad. Estos están apuntando desproporcionadamente a las redes OT e intentando acceder a los servicios expuestos a través de los puertos de TI e industriales».