Os cibercriminosos estão atualmente a explorar uma vulnerabilidade de execução remota de código (RCE) não autenticada no Samsung MagicINFO 9 Server, com o intuito de comprometer dispositivos e distribuir malware. Esta falha crítica, que não requer autenticação para ser explorada, está a causar alarme entre os utilizadores da plataforma.
O que é o Samsung MagicINFO?
Para quem não conhece, o Samsung MagicINFO Server é uma solução de gestão de conteúdos (CMS) centralizada, desenhada pela Samsung para administrar e controlar remotamente os seus ecrãs de sinalização digital. Este tipo de sistema é amplamente utilizado em espaços como lojas de retalho, aeroportos, hospitais, edifícios empresariais e restaurantes, locais onde é crucial agendar, distribuir, apresentar e monitorizar conteúdos multimédia de forma eficiente.
A vulnerabilidade CVE-2024-7399 em detalhe
Identificada como CVE-2024-7399, esta vulnerabilidade tem origem na funcionalidade de carregamento de ficheiros do servidor, originalmente destinada à atualização de conteúdos nos ecrãs. Contudo, os atacantes estão a conseguir abusar desta capacidade para carregar código malicioso. A própria Samsung descreveu a falha como uma "limitação inadequada de um nome de caminho para um diretório restrito [... que] permite aos atacantes escrever ficheiros arbitrários com autoridade de sistema".
Embora a vulnerabilidade tenha sido publicamente divulgada e corrigida em agosto de 2024 com o lançamento da versão 21.1050, a situação agravou-se. A 30 de abril de 2025, investigadores de segurança da SSD-Disclosure publicaram uma análise técnica detalhada, acompanhada por uma prova de conceito (PoC). Este PoC demonstra como é possível executar código remotamente no servidor sem qualquer tipo de autenticação, utilizando um web shell JSP. O método envolve o carregamento de um ficheiro .jsp malicioso através de um pedido POST não autenticado, explorando uma falha de "path traversal" para o colocar numa localização acessível pela web. Ao aceder a este ficheiro com um parâmetro específico (cmd), os atacantes conseguem executar comandos arbitrários no sistema operativo e visualizar o resultado diretamente no navegador.
Exploração ativa e os perigos reais
Poucos dias após a publicação da prova de conceito, a empresa de segurança Arctic Wolf já veio a público confirmar que a falha CVE-2024-7399 está a ser ativamente explorada em ataques reais. A Arctic Wolf alerta que, "dada a baixa barreira para a exploração e a disponibilidade de um PoC público, é provável que os agentes maliciosos continuem a visar esta vulnerabilidade".
Outra confirmação de exploração ativa surge do analista de ameaças Johannes Ullrich, que reportou ter observado uma variante da botnet Mirai a tirar partido desta mesma falha para comprometer dispositivos e adicioná-los à sua rede de máquinas infetadas.
Recomendação urgente: Atualizar agora
Face ao estado de exploração ativa desta vulnerabilidade, a recomendação para os administradores de sistemas é inequívoca e urgente: é crucial tomar medidas imediatas para corrigir a falha CVE-2024-7399. Isto implica a atualização do Samsung MagicINFO Server para a versão 21.1050 ou uma posterior, o mais rapidamente possível. A inação pode resultar no controlo não autorizado de dispositivos e na disseminação de malware.
Nenhum comentário
Seja o primeiro!