CVSS10.0 Erlang/OTPのSSHサーバに深刻な脆弱性、Cisco製品にも影響：セキュリティニュースアラート

Erlang/OTP SSHサーバに認証不要でリモートコード実行が可能となる深刻な脆弱性（CVE-2025-32433）が判明した。影響を受けるバージョンでは任意コード実行によって機密情報漏えいやシステム停止の恐れがある。

[後藤大地，有限会社オングス]

　2025年4月16日（現地時間）、「Erlang/OTP SSH」サーバに重大な脆弱（ぜいじゃく）性が存在することが分かった。この脆弱性は認証されていないリモート攻撃者によるリモートコード実行（RCE）を可能にするものとされ、これを悪用することで影響を受けるシステムに対して任意のコードを実行される可能性がある。

CVSS10.0評価　Erlang/OTPのSSH脆弱性が企業を脅かす

　修正対象の脆弱性は以下の通りだ。

• CVE-2025-32433：　リモートコード実行の脆弱性。Erlangプログラミング言語向けのライブラリー群「Erlang/OTP」において、SSHサーバの認証フェーズ中にSSHメッセージ処理が不適切な問題が存在する。悪意あるユーザーが細工したSSHメッセージを送信すると認証を経ずにリモートで任意のコードを実行され、システムの制御を奪取される可能性がある。この脆弱性により機密情報の漏えい、不正操作、サービス停止など深刻な影響が生じる恐れがある。共通脆弱性評価システム（CVSS）v3.1のスコア値で10.0となっており、深刻度「緊急」（Critical）と評価されている

　影響を受けるErlang/OTPのバージョンは以下の通りだ。

• OTP-27.3.2およびこれ以前のバージョン
• OTP-26.2.5.10およびこれ以前のバージョン
• OTP-25.3.2.19およびこれ以前のバージョン

　脆弱性を修正したバージョンは以下の通りだ。

• OTP-27.3.3およびこれ以降のバージョン
• OTP-26.2.5.11およびこれ以降のバージョン
• OTP-25.3.2.20およびこれ以降のバージョン

　この脆弱性に関連してCisco Systemsは自社製品への影響調査を進めている。影響が確認されている製品には、「ConfD」「Network Services Orchestrator」（NSO）「ASR 5000シリーズソフトウェア」（StarOS）、「Ultra Packet Core」などが含まれる。特にConfDやNSOに関しては2025年5月に修正版ソフトウェアのリリースが予定されている。

　一方、「iNode Manager」や一部の「Small Business RVシリーズ ルータ」については、現時点で修正対応が予定されていない。Ciscoは今後も調査を継続し、状況に応じてアドバイザリー情報を更新するとしている。

　同脆弱性により、システムの機密性や完全性、可用性が重大な影響を受ける可能性があり、攻撃者による機密データの不正取得やシステム停止など深刻な事態を招く恐れがある。影響を受ける可能性のあるユーザーおよび企業は、速やかに使用中のErlang/OTPバージョンを確認するとともに適切な修正バージョンにアップデートすることが強く推奨される。修正が困難な場合、SSHサーバの無効化またはネットワークレベルでのアクセス制御を暫定的な対策を講じることが望まれる。