A biztonsági kutatók figyelmeztetnek, hogy kiberbűnözők aktívan kihasználnak egy sérülékenységet a Samsung MagicINFO 9 Server rendszerében. A sebezhetőség hitelesítést nem igénylő, távoli kódfuttatást (RCE) és rosszindulatú programok telepítését teszi lehetővé a rendszer jogosultságaival az érintett szervereken.
A Samsung MagicINFO egy központosított tartalomkezelő rendszer (CMS), amelyet digitális kijelzők távoli kezelésére fejlesztettek. Ilyenek lehetnek az üzletekben, repülőtereken, kórházakban, irodaházakban és éttermekben használt digitális táblák. A szoftver lehetővé teszi multimédiás tartalmak időzített lejátszását, frissítését és monitorozását.
A támadás célpontja a MagicINFO szerver egy fájlfeltöltési funkciója, amelyet eredetileg tartalomfrissítésre terveztek. Ezt a mechanizmust azonban a támadók arra használják, hogy kártékony JSP fájlokat töltsenek fel a rendszerbe. A sérülékenység azonosítója CVE-2024-7399, és a Samsung 2024 augusztusában javította a 21.1050 verzió kiadásával. A gyártó szerint a hiba egy nem megfelelő útvonalkorlátozás a fájlok feltöltésekor.
2025. április 30-án az SSD-Disclosure részletes technikai elemzést és egy proof-of-concept (PoC) exploitot is nyilvánosságra hozott. A módszer lényege, hogy a támadó egy hitelesítést nem igénylő HTTP POST kérés során feltölt egy rosszindulatú .jsp fájlt, majd path traversal technikával olyan helyre juttatja azt, amely webes eléréssel rendelkezik. Ezután elegendő a fájlt böngészőből elérni, és a ?cmd= paraméterrel tetszőleges operációs rendszer parancsokat lehet lefuttatni, az eredmény pedig közvetlenül megjelenik a válaszban.
A PoC közzététele után néhány nappal az Arctic Wolf kiberbiztonsági cég jelezte, hogy a CVE-2024-7399 már aktív támadásokban is megjelent. A jelentés szerint alacsony a kihasználási küszöb, így várható, hogy a támadók célba veszik a sebezhető rendszereket. Ezt megerősítette Johannes Ullrich fenyegetés-elemző is, aki Mirai alapú botnet variánsokat azonosított, amelyek ezt a konkrét sebezhetőséget használják az eszközök kompromittálására.
A sebezhetőség súlyossága és az aktív kihasználás miatt minden érintett rendszer üzemeltetőjének haladéktalanul frissítenie kell a Samsung MagicINFO szervert legalább a 21.1050-es verzióra. Emellett javasolt:
- A szerverek naplóinak átvizsgálása gyanús fájlfeltöltések után
- Tűzfal vagy reverse proxy megoldással a feltöltési végpontok korlátozása
- Webszerverek konfigurációjának felülvizsgálata, különösen a .jsp fájlok futtatási lehetőségeinek szűkítésére tekintettel