Пользователям коммерческих цифровых дисплеев Samsung рекомендуется обновить сервер MagicInfo 9 до последней доступной версии ветки v9, чтобы устранить уязвимость, которой, как сообщается, воспользовались злоумышленники.
Этот совет может показаться знакомым, так как он повторяет предупреждение, которое было сделано десять дней назад. Тогда исследователи обнаружили, что злоумышленники пытались скомпрометировать компьютеры, на которых работал серверный компонент платформы, используя уязвимость для обхода защиты.
Изначально исследователи считали, что речь идёт об уязвимости CVE-2024-7399, якобы исправленной в августе 2024 года, поскольку демонстрационный эксплойт для такой уязвимости был опубликован 30 апреля 2025 года.
Устранение путаницы и противоречивой информации
Из-за отсутствия ответа от Samsung как исследователю, обнаружившему уязвимость и опубликовавшему PoC, так и на запросы СМИ, возникла путаница относительно того, какая уязвимость использовалась и какая версия серверного компонента была уязвима.
Исследователь утверждал, что MagicINFO 9 Server 21.1050 — последняя доступная на тот момент версия — была уязвима, и исследователи Huntress подтвердили это, так как некоторые из взломанных систем действительно работали на ней.
7 мая 2025 года Samsung выпустила MagicINFO 9 Server (исправление) 21.1052. На странице компании, посвящённой обновлениям безопасности, сообщается, что они устранили CVE-2025-4632 — уязвимость, связанную с неправильным ограничением пути к ограниченному каталогу, которая позволяет злоумышленникам записывать произвольные файлы от имени системы. Ранее компания Samsung описывала CVE-2024-7399 точно таким же образом.
Однако в примечаниях к выпуску MagicINFO 9 Server Hotfix 21.1052 не упоминается CVE-2025-4632 — только CVE-2024-7399.
Поскольку Samsung по-прежнему не отвечает на запросы, остаётся только гадать, действительно ли уязвимость CVE-2024-7399 была устранена в прошлом году в MagicINFO 9 Server 21.1050 или была устранена в MagicINFO 9 Server (исправление) 21.1052.
Также возможно, что CVE-2025-4632 — это обходной путь для ранее исправленного CVE-2024-7399, и Samsung теперь исправила этот обходной путь, но компания действительно плохо предоставляет достоверную информацию.
Хорошая новость заключается в том, что MagicINFO V9 (исправление) 21.1052 устраняет эту проблему, что недавно подтвердили исследователи Huntress.
Плохая новость заключается в том, что для MagicINFO v8 нет исправления, поэтому пользователям следует перейти на версию 9 и сделать это особым образом: сначала обновиться до версии 9 21.1050, а затем до версии 9 (исправление) 21.1052.
Всем клиентам следует проверить, не были ли скомпрометированы их серверы. В последнем посте SANS ISC и Huntress содержится больше информации о действиях злоумышленников во время и после взлома.
**МЕТА ТЕГИ:** Samsung, MagicInfo 9, уязвимость, CVE-2024-7399, CVE-2025-4632, обновление безопасности, цифровые дисплеи, злоумышленники, обход защиты, серверный компонент, Huntress, SANS ISC, исправление уязвимости, коммерческие дисплеи.
Дополнительная интересная информация:
После кражи Bybit появилось около 600 фишинговых доменов
"Обход сетевой защиты: Как Fast Flux ставит под угрозу вашу безопасность"
Фишеры все чаще выдают себя за компании, занимающиеся электронным взиманием платы за проезд
Microsoft представила более надежную защиту на базе искусственного интеллекта
Обнаружение данных как первый шаг к защите от кибератак видео