Bilgisayar korsanları, cihazları ele geçirmek ve kötü amaçlı yazılım dağıtmak için Samsung Magicinfo 9 sunucusundaki kimlik doğrulanmamış bir Uzaktan Kod Yürütme (RCE) güvenlik açığından yararlanıyor.
Samsung Magicinfo Server, Samsung tarafından yapılan dijital tabela ekranlarını uzaktan yönetmek ve kontrol etmek için kullanılan merkezi bir içerik yönetim sistemidir (CMS). Multimedya içeriğini planlamaya, dağıtmaya ve izlemeye ihtiyaç duyulan perakende mağazalar, havaalanları, hastaneler, kurumsal binalar ve restoranlar tarafından kullanılır.
Sunucu bileşeninde, ekran içeriğini güncellemek için tasarlanmış bir dosya yükleme işlevi bulunur, ancak bilgisayar korsanları kötü amaçlı kod yüklemek için kötüye kullanır.
CVE-2024-7399 altında izlenen kusur, ilk olarak Ağustos 2024'te 21.1050 sürümünün bir parçası olarak sabitlendiği zaman açıklandı.
Satıcı, güvenlik açığını "bir yol adının Samsung Magicinfo 9 sunucusunda kısıtlı bir dizinle ilgili güvenlik açığı ile uygunsuz bir şekilde sınırlandırma" olarak nitelendirdi.
30 Nisan 2025'te, SSD-Serpozdaki güvenlik araştırmacıları, bir JSP web kabuğu kullanarak herhangi bir kimlik doğrulaması yapmadan sunucuda RCE'yi elde eden bir kavram kanıtı (POC) istismarıyla birlikte ayrıntılı bir yazı yayınladı.
Saldırgan, Web tarafından erişilebilir bir konuma yerleştirmek için yol geçişinden yararlanarak, kimliği doğrulanmamış bir posta isteği aracılığıyla kötü niyetli bir .jsp dosyası yükler.
Yüklenen dosyayı bir CMD parametresi ile ziyaret ederek, keyfi OS komutlarını yürütebilir ve tarayıcıdaki çıktıyı görebilirler.
Arctic Wolf şimdi, CVE-2024-7399 kusurunun POC'nin serbest bırakılmasından birkaç gün sonra saldırılarda aktif olarak kullanıldığını ve bu da tehdit aktörlerinin gerçek operasyonlarda açıklanan saldırı yöntemini benimsediğini gösteriyor.
Arctic Wolf, "Sömürü için düşük engel ve halka açık bir POC'nin mevcudiyeti göz önüne alındığında, tehdit aktörlerinin bu kırılganlığı hedeflemeye devam etmesi muhtemeldir."
Bir başka aktif sömürü teyidi, CVE-2024-7399'dan cihazları devralmak için kullanan bir Mirai Botnet kötü amaçlı yazılım varyantını gördüğünü bildiren tehdit analisti Johannes Ullrich'den geliyor.
Kusurun aktif sömürü durumu göz önüne alındığında, sistem yöneticilerinin Samsung Magicinfo sunucusunu sürüm 21.1050 veya üstüne yükselterek CVE-2024-7399'da hemen işlem yapması önerilir.
14 metrelik kötü niyetli eylemlerin analizine dayanarak, saldırıların% 93'ünün ve bunlara karşı nasıl savunulacağının arkasındaki en iyi 10 MITER ATT & CK tekniklerini keşfedin.
Kritik Langflow RCE Kusurlu AI Uygulama Sunucularını Hacklemek İçin Söküldü
TVT DVR sömürüsünde dalgalanmanın arkasında yeni mirai botnet
SAP, şüpheli Netweaver sıfır gününün saldırılarda sömürüldüğünü düzeltiyor
Aktif! Japon kuruluşlarına yönelik saldırılarda istismar edilen mail rce kusuru
Apache Tomcat'ta kritik RCE kusuru saldırılarda aktif olarak sömürüldü
Kaynak: Bleeping Computer