Hackers estão explorando uma vulnerabilidade de execução remota de código (RCE) não autenticada no Samsung MagicINFO 9 Server para sequestrar dispositivos e implantar malware.
O Samsung MagicINFO Server é um sistema de gerenciamento de conteúdo (CMS) centralizado usado para gerenciar e controlar remotamente displays de sinalização digital fabricados pela Samsung.
É utilizado por lojas varejistas, aeroportos, hospitais, prédios corporativos e restaurantes, onde há necessidade de agendar, distribuir, exibir e monitorar conteúdo multimídia.
O componente do servidor apresenta uma funcionalidade de upload de arquivo destinada à atualização do conteúdo do display, mas hackers estão abusando dela para fazer upload de código malicioso.
A falha, registrada sob
CVE-2024-7399
, foi divulgada publicamente pela primeira vez em agosto de 2024, quando foi corrigida como parte do lançamento da versão 21.1050.
O fornecedor descreveu a vulnerabilidade como uma "limitação inadequada de um caminho de arquivo para uma vulnerabilidade de diretório restrito no Samsung MagicINFO 9 Server [que] permite aos atacantes escrever arquivo arbitrário como autoridade do sistema".
Em 30 de abril de 2025, pesquisadores de segurança na SSD-Disclosure publicaram um artigo detalhado junto com um exploit de prova de conceito (PoC) que alcança RCE no servidor sem nenhuma autenticação usando um web shell JSP.
O atacante faz upload de um arquivo .jsp malicioso por meio de uma solicitação POST não autenticada, explorando o caminho de travessia para colocá-lo em um local acessível pela web.
Ao visitar o arquivo carregado com um parâmetro cmd, eles podem executar comandos OS arbitrários e ver a saída no navegador.
A Arctic Wolf agora relata que a falha
CVE-2024-7399
está sendo ativamente explorada em ataques poucos dias após o lançamento do PoC, indicando que os atores de ameaças adotaram o método de ataque divulgado em operações reais.
"Dada a baixa barreira para exploração e a disponibilidade de um PoC público, espera-se que os atores de ameaças continuem mirando essa vulnerabilidade", alertou a Arctic Wolf.
Uma confirmação adicional de exploração ativa vem do analista de ameaças Johannes Ullrich, que relatou ter visto uma variante de malware do botnet Mirai aproveitando o
CVE-2024-7399
para tomar controle de dispositivos.
Dado o status de exploração ativa da falha, recomenda-se que administradores de sistema tomem ação imediata para corrigir o
CVE-2024-7399
ao atualizar o Samsung MagicINFO Server para a versão 21.1050 ou posterior.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...