Киберпрестъпници активно използват уязвимост в Samsung MagicINFO 9 Server, която позволява неаутентифицирано отдалечено изпълнение на код (RCE), за да поемат контрол над устройства и да инсталират злонамерен софтуер.
Samsung MagicINFO Server е централизирана система за управление на съдържание (CMS), предназначена за дистанционно управление на дигитални дисплеи на Samsung. Използва се масово в търговски обекти, летища, болници, корпоративни сгради и ресторанти за планиране, разпространение и мониторинг на мултимедийно съдържание в реално време.
Уязвимостта е проследена под идентификатора CVE-2024-7399 и беше публично оповестена през август 2024 г. от Samsung. Проблемът е описан като:
„Неправилно ограничаване на пътя до защитена директория, позволяващо на атакуващите да записват произволни файлове с права на системен администратор.“
Уязвимостта засяга функционалност за качване на файлове, чрез която се обновява съдържанието за дисплеите. Хакерите обаче я злоупотребяват за качване на зловреден .jsp файл, който след това се изпълнява директно от браузъра, предоставяйки пълен контрол над сървъра.
На 30 април 2025 г., изследователи от SSD-Disclosure публикуваха технически анализ и доказателство за концепция (PoC), с което демонстрират как може да се получи RCE без нужда от автентикация, използвайки подаване на зловреден POST заявка със скрипт.
Малко след това компанията за киберсигурност Arctic Wolf потвърди, че уязвимостта вече се използва в реални атаки, подчертавайки:
„Поради ниския праг за експлоатация и наличието на публичен PoC, е вероятно атаките срещу тази уязвимост да продължат.“
Допълнително потвърждение идва и от експерта по сигурност Йоханес Улрих, който съобщава, че вариант на Mirai ботнет използва CVE-2024-7399, за да поема контрол над уязвими устройства и ги включва в мрежи за атаки.
Всички организации, които използват Samsung MagicINFO Server, трябва незабавно да актуализират до версия 21.1050 или по-нова, в която проблемът е коригиран. Версията съдържа пач, който затваря уязвимостта, като ограничава възможността за записване на файлове в неоторизирани директории.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.
