Samsung MagicINFO flaw exploited days after PoC exploit publication
2025/05/06 SecurityAffairs — Samsung の CMS (Content management system) である MagicINFO の脆弱性が、PoC エクスプロイトの公開からわずか数日で、攻撃者たちにより悪用され始めたことが判明した。この脆弱性 CVE-2024-7399 (CVSS:8.8) は、Samsung MagicINFO 9 Server 21.1050 未満に存在し、制限されたディレクトリへのパス名の不適切な制限に起因する。この脆弱性の悪用に成功した攻撃者は、システム権限で任意のファイルを書き込む可能性を手にすると、Arctic Wolf の研究者たちは指摘している。
Arctic Wolf のレポートには、「2025年5月初旬の時点で、Samsung MagicINFO 9 Server の脆弱性 CVE-2024-7399 が、実環境で悪用されていることを確認した。この CMS は、デジタル・サイネージ・ディスプレイにおける、マネージメントやリモート制御に使用されている。 この脆弱性の悪用に成功した、未認証の攻撃者は、任意のファイル書き込みの機会を得る。そして、細工された JavaServer Pages (JSP) ファイルを介して、最終的にはリモート・コード実行にいたる可能性がある」と記されている。
この脆弱性 CVE-2024-7399 は、Samsung MagicINFO 9 Server の入力検証の欠陥に起因しており、JSP ファイルのアップロードと、システム・レベルでのコード実行を、未認証の攻撃者に許すとされる。
Samsung が、この脆弱性を初めて公表し、2024年8月の時点では悪用の兆候はなかったという。しかし、2025年4月30日に PoC が公開され、その数日後には、攻撃者による悪用が始まった。この PoC の入手は容易であり、悪用も容易であることから、専門家は今後も攻撃が続く可能性が高いと警告している。
すでに Samsung は、2024年8月にリリースした MagicINFO 9 Server バージョン 21.1050 で、この脆弱性を修正している。
Arctic Wolf のレポートは、「悪用のハードルが低く、オープンな PoC が公開されているため、攻撃者による標的化は今後も続くと考えられる。我々は、この脆弱性に関連する悪意ある活動を引き続き監視し、Managed Detection and Response (MDR) サービスの顧客に対して、必要に応じて警告を発していく予定だ」と締め括っている。
MagicINFO について調べてみたら、「コンテンツ制作/スケジュール/配信/再生などのコンテンツ管理機能及び、ディスプレイのモニタリング/リモート・コントロールなどデバイス管理機能を兼ね備え、デジタル・サイネージ・システムに必要な全ての機能を提供するトータル・ソリューション」と説明されていました。こういうシステムだと、コンテンツの改竄などが怖いところですね。一瞬で、社会を混乱させることなどが可能になってしまいますね。よろしければ、Samsung で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.