Οι χάκερ εκμεταλλεύονται μια ευπάθεια απομακρυσμένης εκτέλεσης κώδικα (RCE) στον διακομιστή Samsung MagicInfo 9 για να καταργήσουν συσκευές και να αναπτύξουν κακόβουλο λογισμικό.
Ο Samsung Magicinfo Server είναι ένα κεντρικό σύστημα διαχείρισης περιεχομένου (CMS) που χρησιμοποιείται για τη διαχείριση και τον έλεγχο των ψηφιακών σημάτων των ψηφιακών σημάτων που έγιναν από τη Samsung. Χρησιμοποιείται από καταστήματα λιανικής πώλησης, αεροδρόμια, νοσοκομεία, εταιρικά κτίρια και εστιατόρια, όπου υπάρχει ανάγκη προγραμματισμού, διανομής, προβολής και παρακολούθησης περιεχομένου πολυμέσων.
Το στοιχείο του διακομιστή διαθέτει μια λειτουργικότητα μεταφόρτωσης αρχείων που προορίζεται για την ενημέρωση του περιεχομένου εμφάνισης, αλλά οι χάκερ την κακοποιούν για να μεταφορτώσουν κακόβουλο κώδικα.
Το ελάττωμα, που παρακολουθείται κάτω CVE-2024-7399ήταν για πρώτη φορά δημοσίως αποκαλύφθηκε τον Αύγουστο του 2024 Όταν καθορίστηκε ως μέρος της έκδοσης της έκδοσης 21.1050.
Ο πωλητής περιέγραψε την ευπάθεια ως “ακατάλληλο περιορισμό ενός ονόματος διαδρομής σε περιορισμένο κατάλογο ευπάθειας στον διακομιστή Samsung MagicInfo 9 [that] Επιτρέπει στους επιτιθέμενους να γράφουν αυθαίρετο αρχείο ως αρχή συστήματος. ”
Στις 30 Απριλίου 2025, οι ερευνητές ασφαλείας στο SSD-Colusion δημοσίευσαν ένα Λεπτομερής εγγραφή Μαζί με μια εκμετάλλευση απόδειξη της ιδέας (POC) που επιτυγχάνει το RCE στον διακομιστή χωρίς κανένα έλεγχο ταυτότητας χρησιμοποιώντας ένα κέλυφος Web JSP.
Ο επιτιθέμενος ανεβάζει ένα κακόβουλο αρχείο .jsp μέσω ενός μη αυθεντικού αιτήματος μετά την εκμετάλλευση της διαδρομής διαδρομής για να το τοποθετήσει σε μια τοποθεσία προσβάσιμης στο διαδίκτυο.
Με την επίσκεψη στο μεταφορτωμένο αρχείο με μια παράμετρο CMD, μπορούν να εκτελέσουν αυθαίρετες εντολές OS και να δουν την έξοδο στο πρόγραμμα περιήγησης.
Ο Αρκτικός Λύκος αναφέρει τώρα ότι το ελάττωμα CVE-2024-7399 εκμεταλλεύεται ενεργά σε επιθέσεις λίγες μέρες μετά την απελευθέρωση του POC, υποδεικνύοντας ότι οι ηθοποιοί απειλής υιοθέτησαν τη μέθοδο που αποκαλύπτεται σε πραγματικές επιχειρήσεις.
“Λαμβάνοντας υπόψη το χαμηλό εμπόδιο στην εκμετάλλευση και τη διαθεσιμότητα ενός δημόσιου POC, οι ηθοποιοί απειλών είναι πιθανό να συνεχίσουν να στοχεύουν αυτή την ευπάθεια”. προειδοποίησε την Αρκτική Λύκος.
Μια άλλη ενεργή επιβεβαίωση εκμετάλλευσης προέρχεται από αναλυτή απειλής Johannes Ullrichοι οποίοι ανέφεραν ότι είδαν μια παραλλαγή κακόβουλου λογισμικού Mirai Botnet που αξιοποιεί το CVE-2024-7399 για να αναλάβει συσκευές.
Δεδομένης της ενεργού κατάστασης εκμετάλλευσης του ελαττώματος, συνιστάται οι διαχειριστές του συστήματος να αναλάβουν άμεση δράση για την Patch CVE-2024-7399 αναβαθμίζοντας τον διακομιστή Samsung MagicInfo στην έκδοση 21.1050 ή νεότερη χώρα.
Με βάση μια ανάλυση 14 μέτρων κακόβουλων ενεργειών, ανακαλύψτε τις 10 κορυφαίες τεχνικές ATT & CK πίσω από το 93% των επιθέσεων και τον τρόπο υπεράσπισης εναντίον τους.
VIA: bleepingcomputer.com
