Хакери експлоатират критична RCE уязвимост в Samsung MagicINFO сървъри

Picture of Здравко Боджов
Здравко Боджов
Уязвимости

Киберпрестъпници активно използват уязвимост в Samsung MagicINFO 9 Server, която позволява неаутентифицирано отдалечено изпълнение на код (RCE), за да поемат контрол над устройства и да инсталират злонамерен софтуер.

Какво е Samsung MagicINFO?

Samsung MagicINFO Server е централизирана система за управление на съдържание (CMS), предназначена за дистанционно управление на дигитални дисплеи на Samsung. Използва се масово в търговски обекти, летища, болници, корпоративни сгради и ресторанти за планиране, разпространение и мониторинг на мултимедийно съдържание в реално време.

Уязвимостта CVE-2024-7399

Уязвимостта е проследена под идентификатора CVE-2024-7399 и беше публично оповестена през август 2024 г. от Samsung. Проблемът е описан като:

„Неправилно ограничаване на пътя до защитена директория, позволяващо на атакуващите да записват произволни файлове с права на системен администратор.“

Уязвимостта засяга функционалност за качване на файлове, чрез която се обновява съдържанието за дисплеите. Хакерите обаче я злоупотребяват за качване на зловреден .jsp файл, който след това се изпълнява директно от браузъра, предоставяйки пълен контрол над сървъра.

Активна експлоатация и Mirai атаки

На 30 април 2025 г., изследователи от SSD-Disclosure публикуваха технически анализ и доказателство за концепция (PoC), с което демонстрират как може да се получи RCE без нужда от автентикация, използвайки подаване на зловреден POST заявка със скрипт.

Малко след това компанията за киберсигурност Arctic Wolf потвърди, че уязвимостта вече се използва в реални атаки, подчертавайки:

„Поради ниския праг за експлоатация и наличието на публичен PoC, е вероятно атаките срещу тази уязвимост да продължат.“

Допълнително потвърждение идва и от експерта по сигурност Йоханес Улрих, който съобщава, че вариант на Mirai ботнет използва CVE-2024-7399, за да поема контрол над уязвими устройства и ги включва в мрежи за атаки.

Какво трябва да направят администраторите?

Всички организации, които използват Samsung MagicINFO Server, трябва незабавно да актуализират до версия 21.1050 или по-нова, в която проблемът е коригиран. Версията съдържа пач, който затваря уязвимостта, като ограничава възможността за записване на файлове в неоторизирани директории.

#сигурност за IoT
По материали от Интернет

Подобни

ИИ агент започна самостоятелно криптомайнинг по време на обучение
10.03.2026
jcoope12-ai-generated-9054495_640
Критична уязвимост в NGINX UI позволява пълен достъп до сървъри
10.03.2026
online-security-protection-dark-background-3d-illustration (1)
Масови течове на частни ключове за TLS застрашават големи компании и правителства
9.03.2026
TLS_ArtemisDiana_Alamy
Критична уязвимост в WordPress плъгина User Registration & Membership
6.03.2026
wordpress
Google: 90 Zero-Day уязвимости експлоатирани активно през 2025 г.
6.03.2026
google-account-security-100832892-large
Активни атаки срещу Cisco Catalyst SD-WAN
6.03.2026
cisco

Споделете

Facebook
LinkedIn

Бюлетин

С нашия бюлетин ще бъдеш сред първите, които научават за нови заплахи, практични решения и добри практики. Напълно безплатно и с грижа за твоята сигурност.

Абонирай се сега!

Категории

Киберсигурност
Важно да знаете
Зловреден код
Уязвимости
Поверителност
Знаете ли как
Факти и данни
За родители
Aрхив

Следвайте ни

Facebook Linkedin Youtube Rss

Популярни

Изземване на Zamunda, Arena и други торент сайтове
30.01.2026
seizure
Българските торент сайтове продължават да изчезват
27.02.2026
pirate-flag-7541041_640
Измамническите сайтове в България: как да ги разпознаем, проверим и защитим себе си
6.10.2025
bulgaria3
Социалните мрежи и младите - между канализиране на общественото мнение и манипулация
7.12.2025
spasov

Бъди в крак с киберсигурността

Абонирай се за нашия бюлетин и получавай директно в пощата си най-важните новини, експертни съвети и практически насоки за киберхигиена и защита онлайн. Кратко, полезно и без спам.