Один файл — и баннер в торговом центре превращается в точку доступа к системе
Вместо рекламы теперь работает консоль администратора.
Хакеры начали активно эксплуатировать критическую уязвимость в сервере Samsung MagicINFO 9, что позволяет удалённо захватывать устройства и устанавливать вредоносное ПО. MagicINFO — это система централизованного управления мультимедийным контентом, используемая для цифровых вывесок в торговых точках, аэропортах, больницах, офисных зданиях и ресторанах. Сервер управляет расписанием, загрузкой и отображением контента на экранах.
Основной механизм уязвимости связан с функцией загрузки файлов, предназначенной для обновления медиафайлов на дисплеях. Однако киберпреступники нашли способ использовать её для загрузки вредоносного кода. Проблема заключается в некорректной проверке пути при обработке файлов: атака позволяет загрузить JSP-скрипт вне разрешённой директории и разместить его в зоне, доступной через веб.
Уязвимость CVE-2024-7399 (оценка CVSS: 8.8) была впервые раскрыта в августе 2024 года и устранена в версии 21.1050. Вендор описал её как проблему с ограничением пути, позволяющую злоумышленнику записывать произвольные файлы от имени системного пользователя. Это открывает прямой путь к удалённому выполнению команд на сервере.
30 апреля 2025 года специалисты SSD-Disclosure опубликовали технический анализ и работающий PoC-эксплойт, с помощью которого возможно выполнение команд на сервере без аутентификации. Атакующий отправляет POST-запрос с вредоносным .jsp-файлом, который сохраняется в директории, доступной через веб-интерфейс. После этого достаточно перейти по ссылке к файлу с параметром команды, и результат выполнения будет показан прямо в браузере.
Компания Arctic Wolf сообщила, что уязвимость уже используется в реальных атаках всего через несколько дней после публикации PoC. Это свидетельствует о том, что злоумышленники быстро адаптировали метод в своих кампаниях. Эксперты подчёркивают: благодаря низкому порогу входа и публично доступному коду, волна атак, скорее всего, будет нарастать.
О подтверждённом факте эксплуатации также заявил аналитик Йоханнес Ульрих, который зафиксировал использование уязвимости ботнетом Mirai. Это один из самых известных вредоносных инструментов для захвата IoT-устройств, что усугубляет угрозу.
Администраторам серверов Samsung MagicINFO 9 рекомендуется срочно обновиться до версии 21.1050 или новее, чтобы исключить возможность компрометации. Учитывая, насколько просто использовать уязвимость и насколько быстро она распространилась среди киберпреступников, промедление может стоить потери контроля над инфраструктурой.