Aktor ancaman mengeksploitasi kerentanan dalam produk manajemen signage digital Samsung, MagicInfo Server 9.
Pada 30 April, eksploitasi Proof-of-Concept (POC) diterbitkan untuk CVE-2025-4632kerentanan yang berdampak pada versi saat ini dari Samsung MagicInfo 9 Server, alat manajemen konten dan perangkat yang digunakan untuk menjalankan signage tampilan digital untuk organisasi. POC melewati versi yang ditambal terhadap CVE-2024-7399, kerentanan direktori terbatas diungkapkan dan ditetapkan tahun lalu, hingga dan termasuk 21.1050.
Database kerentanan nasional menggambarkan CVE-2025-4632 sebagai terjadi ketika “pembatasan pathname yang tidak tepat untuk kerentanan direktori terbatas di Samsung MagicInfo 9 Versi Server sebelum 21.1052 memungkinkan penyerang untuk menulis file sewenang-wenang sebagai otoritas sistem.” Kerentanan kritis diberi skor CVSS 3.1 basis 9,8 – salah satu skor tertinggi yang mungkin.
Tanya Bacaan Gelap Samsung untuk informasi tambahan; Seorang juru bicara menolak berkomentar secara langsung tetapi malah terhubung ke penasihat keamanan Berbagi Hotfix Server MagicInfo 9 (21.1052) Perusahaan yang dikeluarkan pada 8 Mei. Perbaikan panas “memodifikasi logika verifikasi input,” Samsung menjelaskan di catatan tambalan.
Aktor Ancaman Eksploitasi CVE-2025-4632
Menurut penasihat keamanan yang berisi eksploitasi POC awal, grup pengungkapan bug SSD Secure Disclosure melaporkan Masalah untuk Samsung pada 12 Januari. Setelah periode pengungkapan 90 hari dengan waktu rahmat tambahan dan laporan tindak lanjut duplikat, grup tersebut menerbitkan informasi kepada publik. Tingkat kerja sama Samsung dengan proses pengungkapan kerentanan masih belum jelas.
Pengungkapan aman SSD kata bypass, yang ditemukan oleh peneliti independen yang tidak dikenal, memperlihatkan titik akhir yang gagal memeriksa apakah pengguna yang melakukan permintaan diautentikasi; gagal memeriksa ekstensi file yang ditentukan dalam permintaan; dan “menerima nama file dan menggabungkannya ke jalur di mana file harus disimpan.”
“Membungkus semuanya, dimungkinkan untuk mengunggah file JSP untuk mengeksekusi kode sisi server sewenang-wenang tanpa memiliki pengguna yang valid,” baca penasihat.
Aktor ancaman mengeksploitasi bypass di alam liar tak lama setelah itu. Pada tanggal 5 Mei, Johannes Ullrich, Dekan Penelitian untuk Sans Technology Institute, dilaporkan Aktor -aktor ancaman itu mengeksploitasi apa yang mungkin terjadi bypass dalam serangan botnet Mirai. Demikian pula, Akamai awal bulan ini Aktor yang diamati mengeksploitasi kekurangan dalam perangkat Geovision IoT yang dihentikan dalam serangan botnet Mirai.
Peneliti di Vendor Keamanan Serigala Arktik dikatakan pada 8 Mei bahwa perusahaan telah melihat eksploitasi yang relevan di alam liar awal pada awal Mei. Pada saat itu, Arctic Wolf “sangat” menyarankan organisasi untuk menghapus contoh server MagicInfo 9 dari Internet.
Kegiatan pasca eksploitasi
Huntress pada 7 Mei juga mengatakan bahwa pihaknya mengamati eksploitasi dan menyarankan menghapus contoh server MagicInfo 9 dari internet sampai perbaikan tersedia. Kata Huntress POC, pada instance yang tidak jelas, memungkinkan, “Pengguna yang tidak diautentikasi untuk mengunggah shell web dan mencapai eksekusi kode jarak jauh di bawah proses Apache Tomcat.”
Vendor memberikan rincian lebih lanjut Dalam posting 9 Mei Didedikasikan untuk kegiatan pasca-eksploitasi. Jamie Levy dari Huntress dan Lindsey O'Donnell-Welch mengatakan bahwa meskipun ada 75 mesin pelanggan Huntress dengan MagicInfo terpasang, vendor keamanan hanya mengamati tiga contoh yang melibatkan kerentanan baru.
“Meskipun belum sepenuhnya jelas mengapa kita belum melihat lebih banyak serangan ini, mungkin hanya artefak bahwa sebagian besar pelanggan kami yang berpotensi terkena dampak sudah di balik firewall yang melindungi terhadap jenis serangan yang lebih mudah ini,” tulis Levy dan O'Donnell-Welch.
Mereka menggambarkan bagaimana dalam setidaknya dua dari tiga serangan, aktor ancaman tampaknya menghadapi kesulitan dalam melaksanakan serangan.
“Yang menarik adalah bahwa penyerang pada tuan rumah pertama tampaknya mengalami kesulitan untuk menjalankan layanan mereka pada tuan rumah pertama dengan perintah yang ditulis. Karena layanan tidak dimulai, mereka mencoba serangan lagi. Namun, layanan masih belum dimulai, meskipun upaya terbaik mereka. Ini dikonfirmasi dengan memeriksa log sistem, dan menemukan entri yang menunjukkan layanan gagal dimulai setelah itu dipasang,” posting.
Para peneliti melanjutkan, “Untuk host kedua, hanya ada satu entri yang menunjukkan bahwa layanan itu diinstal, dan tidak ada entri yang menunjukkan bahwa itu gagal. Ada juga bukti eksekusi binari yang diunduh dari data EDR yang menunjukkan layanan berjalan.”
Levy, yang merupakan direktur taktik musuh Huntress, memberi tahu Dark Reading dalam email bahwa aktor ancaman tampaknya mencoba eksploitasi dengan metode “semprotan dan berdoa”. “Ini bukan masalah mengidentifikasi server dengan cepat, tetapi hanya beruntung. Namun, saya akan membayangkan bahwa mereka dapat dengan mudah mengidentifikasi layanan lari ini,” katanya.
Pada xManajer Perburuan Ancaman Huntress Jai Minton menulis bahwa MagicInfo Server 9 21.1052 mengurangi masalah ini tetapi, karena ini adalah perbaikan panas, versinya bukan pemasang mandiri; Dengan kata lain, pengguna harus menginstal MagicInfo Server 9 21.1050 sebelum mereka diperbarui ke 21.1052. Selain itu, Minton mengatakan “versi lama masih merupakan unduhan default” di situs web Samsung.
Pembela disarankan untuk meningkatkan instance MagicInfo mereka ke versi tetap dan untuk memastikan contoh yang rentan tidak menghadap internet.
_Aleksey_Funtap_Alamy.jpg?disable=upscale&width=1200&height=630&fit=crop&w=300&resize=300,300&ssl=1 "SSH Keys: Kredensial paling kuat yang mungkin Anda abaikan")
