Huntress’teki siber güvenlik araştırmacıları, Samsung’un MagicInfo 9 dijital tabela yazılımındaki kritik bir uzaktan kumanda yürütme (RCE) güvenlik açığının aktif olarak kullanıldığını doğruladıktan sonra bir uyarı verdiler.
CVE-2024-34515 olarak izlenen kusur, kötü niyetli bir HTTP isteği göndererek savunmasız sunucularda keyfi kod yürütmesine izin verir. Birçoğu varsayılan konfigürasyonlara sahip on binlerce MagicInfo örneği internete maruz kalır, bu da saldırı yüzeyinin önemli olduğu anlamına gelir.
En son blog yayınlarında Huntress, saldırganların kusuru nasıl kötüye kullandığına, paket yakalamaları, yük analizi ve sömürme sonrası davranışla nasıl bir teknik derin dalış sağlıyor. Araştırmaları, geçen hafta kırılganlığın halka açıklanmasını takip ediyor ve eleştirel olarak, saldırganların şimdi gerçek dünya kampanyalarında bundan yararlandığını doğruladı.
Huntress ekibi, “Güvenlik açığı yoluyla komutları yürütmeye çalışan bir IP de dahil olmak üzere vahşi doğada zaten aktivite gözlemledik. Bu artık teorik bir risk değil” dedi.
Saldırı analizi
Kusur, Magicinfo’nun HTTP isteklerinde Java nesnelerinin sazipliğini nasıl ele aldığından kaynaklanıyor. Huntress, saldırganların Base64 kodlu bir ters kabuk da dahil olmak üzere kötü amaçlı komutlar sunmak için URL kodlu Java yükleri kullandığını buldu. Bir dayanak kurulduktan sonra, saldırganlar numaralandırma komut dosyalarını çalıştırıyor ve daha fazla uzlaşma için zemin hazırlıyor gibi görünüyor. Gözlenen bir yük, saldırgan kontrollü bir alandan uzak bir komut dosyasını indiren ve yürüten bir kabuk komutu içeriyordu ve kalıcı arka kapı erişimini açmak amacıyla.
Tespit ve azaltma
Huntress, aşağıdakileri içeren eyleme geçirilebilir savunma stratejileri sunar:
Sunucu günlüklerini savunmasız olan şüpheli yayın istekleri için arama
/magicInfo/j_spring_security_checkson noktaGibi araçları içeren komutları incelemek
curl–wgetveyabashVeri açığa çıkmasını veya ters kabukları gösterebilecek olağandışı giden bağlantılar arıyor
Blog, savunucuların maruziyeti değerlendirmelerine ve etkili bir şekilde yanıt vermelerine yardımcı olmak için algılama tekniklerini ve uzlaşma göstergelerini (IOCS) içerir.
Samsung o zamandan beri bir yama yayınladı ve müşterileri hemen güncellemeye çağırıyor. Bununla birlikte, Huntress’in belirttiği gibi, MagicInfo’yu yöneten birçok kuruluş, özellikle dijital tabela sistemlerinin genellikle bir güvenlik perspektifinden göz ardı edildiği perakende, misafirperverlik veya eğitim gibi ortamlarda iş akışlarını yamalayabilir.
Huntress, “Organizasyonlar bunu bir öncelik olarak ele almalı. Magicinfo temel bir iş uygulaması olmasa bile, açıkta bırakılırsa bir saldırganın sahil başlığı olabilir” diye uyardı.
Huntress analizinin tamamını buradan okuyun: https://www.huntress.com/blog/rapid-ponse-samsung-magicinfo9-server-flaw
Samsung Magicinfo Server Flaw Post şimdi aktif olarak sömürüldü-Huntress ilk önce BT Security Guru’da gerçek dünya saldırılarını ortaya çıkardı.