- Автор темы
- #1
Компания Arctic Wolf предупреждает, что эксплуатация уязвимости в CMS Samsung MagicINFO началась через несколько дней после публикации PoC-эксплоита.
Samsung MagicINFO Server представляет собой централизованную систему управления контентом (CMS), используемую для удаленного управления и контроля над дисплеями Digital Signage производства Samsung. Система применяется в розничных магазинах, аэропортах, больницах, корпоративных зданиях и ресторанах, где требуется планировать, распространять, отображать и отслеживать мультимедийный контент.
Серверный компонент оснащен функцией загрузки файлов, которой, как выяснилось, хакеры злоупотребляют для загрузки вредоносного кода.
Проблема, получившая идентификатор CVE-2024-7399 (8,8 балла по шкале CVSS), описывается как «некорректное ограничение имени пути к закрытому каталогу в Samsung MagicINFO 9 Server». В результате эта проблема может использоваться для записи произвольных файлов с системными привилегиями.
Поскольку вводимое имя файла не проверяется должным образом, не проводится проверка расширения файла и аутентификации пользователя. В результате неавторизованный злоумышленник получает возможность загружать JSP-файлы и выполнять произвольный код на стороне сервера с системными привилегиями.
Хотя ранее об эксплуатации этой уязвимости не сообщалось, аналитики Arctic Wolf отмечают, что вскоре после того как специалисты SSD-Disclosure опубликовали техническое описание проблемы и PoC-эксплоит 30 апреля 2025 года, уязвимость начала использоваться в атаках.
Также сообщается, что CVE-2024-7399 уже используется Mirai-ботнетом для захвата контроля над уязвимыми устройствами.
Организациям и пользователям рекомендуется как можно скорее обновить MagicINFO 9 Server до версии 21.1050 или более новой.
Samsung MagicINFO Server представляет собой централизованную систему управления контентом (CMS), используемую для удаленного управления и контроля над дисплеями Digital Signage производства Samsung. Система применяется в розничных магазинах, аэропортах, больницах, корпоративных зданиях и ресторанах, где требуется планировать, распространять, отображать и отслеживать мультимедийный контент.
Серверный компонент оснащен функцией загрузки файлов, которой, как выяснилось, хакеры злоупотребляют для загрузки вредоносного кода.
Проблема, получившая идентификатор CVE-2024-7399 (8,8 балла по шкале CVSS), описывается как «некорректное ограничение имени пути к закрытому каталогу в Samsung MagicINFO 9 Server». В результате эта проблема может использоваться для записи произвольных файлов с системными привилегиями.
Поскольку вводимое имя файла не проверяется должным образом, не проводится проверка расширения файла и аутентификации пользователя. В результате неавторизованный злоумышленник получает возможность загружать JSP-файлы и выполнять произвольный код на стороне сервера с системными привилегиями.
Компания Samsung устранила эту проблему в составе MagicINFO 9 Server версии 21.1050, выпущенной еще в августе 2024 года.
Хотя ранее об эксплуатации этой уязвимости не сообщалось, аналитики Arctic Wolf отмечают, что вскоре после того как специалисты SSD-Disclosure опубликовали техническое описание проблемы и PoC-эксплоит 30 апреля 2025 года, уязвимость начала использоваться в атаках.
Также сообщается, что CVE-2024-7399 уже используется Mirai-ботнетом для захвата контроля над уязвимыми устройствами.
Организациям и пользователям рекомендуется как можно скорее обновить MagicINFO 9 Server до версии 21.1050 или более новой.