SSH'nin Erlang/OTP SSH'de uygulanması maksimum değerlendirme ile kritik bir güvenlik boşluğu içerir: CVSS 10 değeri 10 üzerinden. Şimdi hangi sistemlerin ilgilendiği yavaş yavaş netleşiyor: Opensssh ve torunlar kesinlikle en yaygın olanı. Bununla birlikte, büyük ortamlarda Erlang/OTP SSH genellikle bulunur.
Arctic Wolf'un BT güvenlik araştırmacıları, üreticileri ve ürünleri bulmanın mümkün olduğu bir genel bakış hazırladı. Örneğin, Ericsson Network Tedarikçisi, AXD301 gibi anahtar gibi dağıtılmış ve arıza toleranslı uygulamaları için tasarlanmış Erlang/OTP SSH ürünlerini kullanır. Bu nedenle, Ericsson'dan ilgili ürünlere ve boşlukla yüzleşmek için yardıma genel bir bakış yoktur.
Güvenlik Boşluğu: İlgilenen büyük ve iyi bilinen üreticiler
Bu arada, Cisco hala hangi sistemlerin ilgilendiğini ve bir güvenlik ilişkisi yayınladığını inceliyor: Şirket, sürekli olarak yeni bilgilerle güncellemek istiyor. Orada, Cisco şimdiye kadar Confd ve Confd Network Hizmetleri Ağını savunmasız bir şekilde listeledi ve Mayıs 2025'te hatalar için doğru yazılım vaat ediyor. Ayrıca duyarlı akıllı phy ve akıllı düğüm yazılımı ve Ultra Cloud Core (abone altyapı altyapısı). Şimdi iOS, iOS XE, IOX XR, SD-WAN, ISE ve diğerleri gibi birçok sistem ilgilenilmiyor.
Diğer savunmasız tedarikçiler arasında EMQ teknolojileri bulunmaktadır. Buna ek olarak, Ulusal Enstrümanlar, Broadcom (özellikle tavşan CM), çok teknolojik, Apache (CouchDB) ve Riak Technologies'de Erlang/OTP SSH isteğe bağlı olarak kurulmamıştır. Burada yöneticiler Erlang/OTP SSH'yi yükleyip yüklemediğinizi kontrol etmeli ve gerekirse mevcut güncellemeleri yüklemelidir.
Erlang/OTP SSH'deki zayıf noktanın temel ve saldırının kolay olduğu zaten biliniyordu. Ruhr Üniversitesi Bochum'un boşluğunun keşfedicileri bu boşluk hakkında ayrıntılar yayınlamıştı. Ancak şimdiye kadar, yazılımın gerçekte nerede kullanıldığı ve bu nedenle hangi sistemlerin tehdit edildiği belli değildi.
(DMK)
Arctic Wolf'un BT güvenlik araştırmacıları, üreticileri ve ürünleri bulmanın mümkün olduğu bir genel bakış hazırladı. Örneğin, Ericsson Network Tedarikçisi, AXD301 gibi anahtar gibi dağıtılmış ve arıza toleranslı uygulamaları için tasarlanmış Erlang/OTP SSH ürünlerini kullanır. Bu nedenle, Ericsson'dan ilgili ürünlere ve boşlukla yüzleşmek için yardıma genel bir bakış yoktur.
Güvenlik Boşluğu: İlgilenen büyük ve iyi bilinen üreticiler
Bu arada, Cisco hala hangi sistemlerin ilgilendiğini ve bir güvenlik ilişkisi yayınladığını inceliyor: Şirket, sürekli olarak yeni bilgilerle güncellemek istiyor. Orada, Cisco şimdiye kadar Confd ve Confd Network Hizmetleri Ağını savunmasız bir şekilde listeledi ve Mayıs 2025'te hatalar için doğru yazılım vaat ediyor. Ayrıca duyarlı akıllı phy ve akıllı düğüm yazılımı ve Ultra Cloud Core (abone altyapı altyapısı). Şimdi iOS, iOS XE, IOX XR, SD-WAN, ISE ve diğerleri gibi birçok sistem ilgilenilmiyor.
Diğer savunmasız tedarikçiler arasında EMQ teknolojileri bulunmaktadır. Buna ek olarak, Ulusal Enstrümanlar, Broadcom (özellikle tavşan CM), çok teknolojik, Apache (CouchDB) ve Riak Technologies'de Erlang/OTP SSH isteğe bağlı olarak kurulmamıştır. Burada yöneticiler Erlang/OTP SSH'yi yükleyip yüklemediğinizi kontrol etmeli ve gerekirse mevcut güncellemeleri yüklemelidir.
Erlang/OTP SSH'deki zayıf noktanın temel ve saldırının kolay olduğu zaten biliniyordu. Ruhr Üniversitesi Bochum'un boşluğunun keşfedicileri bu boşluk hakkında ayrıntılar yayınlamıştı. Ancak şimdiye kadar, yazılımın gerçekte nerede kullanıldığı ve bu nedenle hangi sistemlerin tehdit edildiği belli değildi.
(DMK)