Les pirates exploitent une vulnérabilité d’exécution de code à distance (RCE) non authentifiée dans le serveur Samsung MagicInfo 9 pour détourner des appareils et déployer des logiciels malveillants.
Samsung MagicInfo Server est un système de gestion de contenu centralisé (CMS) utilisé pour gérer et contrôler à distance les écrans d’affichage dynamique fabriqués par Samsung. Il est utilisé par les magasins de détail, les aéroports, les hôpitaux, les bâtiments d’entreprise et les restaurants, où il est nécessaire de planifier, distribuer, afficher et surveiller le contenu multimédia.
Le composant serveur dispose d’une fonctionnalité de téléchargement de fichiers destinée à mettre à jour le contenu d’affichage, mais les pirates en abusent pour télécharger du code malveillant.
La faille, suivie sous CVE-2024-7399, a été divulguée publiquement pour la première fois en août 2024 lorsqu’elle a été corrigée dans le cadre de la publication de la version 21.1050.
Le fournisseur a décrit la vulnérabilité comme une » Limitation incorrecte d’un chemin d’accès à une vulnérabilité de répertoire restreint dans le serveur Samsung MagicInfo 9 [qui] permet aux attaquants d’écrire un fichier arbitraire en tant qu’autorité système. »
Le 30 avril 2025, des chercheurs en sécurité de SSD-Disclosure ont publié un article détaillé ainsi qu’un exploit de validation de principe (PoC) qui permet d’obtenir RCE sur le serveur sans aucune authentification à l’aide d’un shell Web JSP.
L’attaquant télécharge un malveillant .fichier jsp via une requête POST non authentifiée, exploitant la traversée de chemin pour le placer dans un emplacement accessible sur le Web.
En visitant le fichier téléchargé avec un paramètre cmd, ils peuvent exécuter des commandes OS arbitraires et voir la sortie dans le navigateur.
Arctic Wolf rapporte maintenant que la faille CVE-2024-7399 est activement exploitée dans des attaques quelques jours après la publication du PoC, indiquant que les acteurs de la menace ont adopté la méthode d’attaque divulguée dans des opérations réelles.
« Compte tenu du faible obstacle à l’exploitation et de la disponibilité d’un PoC public, les acteurs de la menace continueront probablement de cibler cette vulnérabilité », a averti Arctic Wolf.
Une autre confirmation d’exploitation active provient de l’analyste des menaces Johannes Ullrich, qui a rapporté avoir vu une variante de malware de botnet Mirai exploitant CVE-2024-7399 pour prendre le contrôle des appareils.
Compte tenu de l’état d’exploitation actif de la faille, il est recommandé aux administrateurs système de prendre des mesures immédiates pour corriger CVE-2024-7399 en mettant à niveau le serveur Samsung MagicInfo vers la version 21.1050 ou ultérieure.