Bilgisayar korsanları, cihazları ele geçirmek ve kötü amaçlı yazılım dağıtmak için Samsung Magicinfo 9 sunucusundaki kimlik doğrulanmamış bir Uzaktan Kod Yürütme (RCE) güvenlik açığından yararlanıyor.
Samsung Magicinfo Server, Samsung tarafından yapılan dijital tabela ekranlarını uzaktan yönetmek ve kontrol etmek için kullanılan merkezi bir içerik yönetim sistemidir (CMS). Multimedya içeriğini planlamaya, dağıtmaya ve izlemeye ihtiyaç duyulan perakende mağazalar, havaalanları, hastaneler, kurumsal binalar ve restoranlar tarafından kullanılır.
Sunucu bileşeninde, ekran içeriğini güncellemek için tasarlanmış bir dosya yükleme işlevi bulunur, ancak bilgisayar korsanları kötü amaçlı kod yüklemek için kötüye kullanır.
CVE-2024-7399 altında izlenen kusur, ilk olarak Ağustos 2024’te 21.1050 sürümünün bir parçası olarak sabitlendiği zaman açıklandı.
Satıcı, güvenlik açığını “Samsung Magicinfo 9 Sunucusunda Kısıtlı Bir Dizin Güvenlik Açığı ile Bir Yol Adının Yanlış Sınırlaması olarak tanımladı. [that] Saldırganların rasgele bir dosya sistem otoritesi olarak yazmasına izin verir. ”
30 Nisan 2025’te, SSD-Serpozdaki güvenlik araştırmacıları, bir JSP web kabuğu kullanarak herhangi bir kimlik doğrulaması yapmadan sunucuda RCE’yi elde eden bir kavram kanıtı (POC) istismarıyla birlikte ayrıntılı bir yazı yayınladı.
Saldırgan, Web tarafından erişilebilir bir konuma yerleştirmek için yol geçişinden yararlanarak, kimliği doğrulanmamış bir posta isteği aracılığıyla kötü niyetli bir .jsp dosyası yükler.
Yüklenen dosyayı bir CMD parametresi ile ziyaret ederek, keyfi OS komutlarını yürütebilir ve tarayıcıdaki çıktıyı görebilirler.
Arctic Wolf şimdi, CVE-2024-7399 kusurunun POC’nin serbest bırakılmasından birkaç gün sonra saldırılarda aktif olarak kullanıldığını ve bu da tehdit aktörlerinin gerçek operasyonlarda açıklanan saldırı yöntemini benimsediğini gösteriyor.
Arctic Wolf, “Sömürü için düşük engel ve halka açık bir POC’nin mevcudiyeti göz önüne alındığında, tehdit aktörlerinin bu kırılganlığı hedeflemeye devam etmesi muhtemeldir.”
Bir başka aktif sömürü teyidi, CVE-2024-7399’dan cihazları devralmak için kullanan bir Mirai Botnet kötü amaçlı yazılım varyantını gördüğünü bildiren tehdit analisti Johannes Ullrich’den geliyor.
Kusurun aktif sömürü durumu göz önüne alındığında, sistem yöneticilerinin Samsung Magicinfo sunucusunu sürüm 21.1050 veya üstüne yükselterek CVE-2024-7399’da hemen işlem yapması önerilir.
14 metrelik kötü niyetli eylemlerin analizine dayanarak, saldırıların% 93’ünün ve bunlara karşı nasıl savunulacağının arkasındaki en iyi 10 MITER ATT & CK tekniklerini keşfedin.