Специалисты по кибербезопасности из Arctic Wolf зафиксировали массовую эксплуатацию критической уязвимости в системе управления контентом Samsung MagicINFO. Атаки начались практически сразу после публикации технического описания и proof-of-concept эксплойта, что создает серьезную угрозу для thousands организаций по всему миру.
Анализ уязвимости CVE-2024-7399
Обнаруженная уязвимость (CVE-2024-7399) получила критический рейтинг 8,8 по шкале CVSS и затрагивает серверный компонент Samsung MagicINFO 9. Проблема связана с недостаточной валидацией загружаемых файлов, что позволяет злоумышленникам без аутентификации загружать вредоносные JSP-файлы и выполнять произвольный код с системными привилегиями.
Масштаб потенциального воздействия
Samsung MagicINFO широко используется для централизованного управления цифровыми дисплеями в различных сферах, включая розничную торговлю, транспортные узлы, медицинские учреждения и корпоративный сектор. Успешная эксплуатация уязвимости может привести к полной компрометации системы управления контентом и подключенных устройств.
Активная эксплуатация в реальных атаках
Исследователи подтверждают, что операторы ботнета Mirai уже используют данную уязвимость для компрометации уязвимых устройств и включения их в свою вредоносную сеть. Ситуация особенно критична, учитывая, что многие организации могут не осознавать наличие уязвимости в своей инфраструктуре.
Технические детали эксплуатации
Уязвимость позволяет обойти механизмы безопасности путем манипуляции с путями к файлам при их загрузке. Отсутствие проверки расширений файлов и аутентификации пользователей создает идеальные условия для проведения атак с удаленным выполнением кода.
Samsung выпустила патч для устранения уязвимости в версии 21.1050 еще в августе 2024 года. Всем организациям, использующим Samsung MagicINFO 9 Server, настоятельно рекомендуется незамедлительно обновить программное обеспечение до актуальной версии для предотвращения возможных атак и компрометации систем.
