Atacantes estão explorando uma vulnerabilidade crítica no produto de gerenciamento de sinalização digital da Samsung, o MagicINFO Server 9, que permite execução remota de código. A falha foi identificada como CVE-2025-4632 e recebeu uma classificação CVSS de 9,8, uma das mais altas possíveis.
Vetor de ataque
A vulnerabilidade ocorre devido a “limitação inadequada de um pathname para um diretório restrito”, permitindo que invasores escrevam arquivos arbitrários com autoridade do sistema. Um proof-of-concept (POC) para a exploração foi publicado em 30 de abril, indicando que a falha pode ultrapassar versões que foram corrigidas contra outra vulnerabilidade, CVE-2024-7399. Os atacantes podem aproveitar essa falha para carregar um arquivo JSP, possibilitando a execução de código no servidor sem a necessidade de autenticação.
Impacto e resposta
Segundo um relatório de segurança, o grupo SSD Secure Disclosure notificou a Samsung sobre a falha em 12 de janeiro de 2025. A Samsung disponibilizou uma atualização de segurança em 8 de maio, oferecendo um hotfix que modifica a lógica de verificação de entrada. No entanto, a extent do impacto é significativo, com pesquisadores observando exploração ativa desde o início de maio. A Arctic Wolf e a Huntress relataram tentativas de exploração da vulnerabilidade em ambientes de produção, com recomendações para remoção de instâncias do MagicINFO 9 Server da Internet até que uma correção apropriada seja implementada.
“Recomendamos fortemente que as organizações removam instâncias do MagicINFO 9 Server da Internet até que uma correção esteja disponível.“
(“We strongly advise organizations to remove instances of MagicINFO 9 Server from the Internet until a fix is available.”)— Arctic Wolf
Análise e recomendações
Pesquisas indicam que o vetor de ataque pode ser explorado com um método de “spray and pray”, o que implica que os atacantes estão tentando explorar a falha de modo aleatório em diversos servidores. Com a atualização disponível, a recomendação principal é que as organizações atualizem suas instâncias do MagicINFO Server 9 para a versão corrigida. Além disso, é crucial assegurar que as versões vulneráveis não estejam expostas à Internet.
A situação alerta para a necessidade de monitoramento contínuo da segurança em sistemas de gerenciamento de sinalização digital, destacando a importância de atualizações rápidas diante de novas vulnerabilidades.
Fonte: (Dark Reading – Segurança Cibernética)
