Компанія Arctic Wolf попереджає, що експлуатація вразливості в CMS Samsung MagicINFO розпочалася через кілька днів після публікації PoC-експлоїта.

Серверний компонент оснащений функцією завантаження файлів, якою, як з’ясувалося, хакери зловживають для завантаження шкідливого коду.

Проблема, що отримала ідентифікатор CVE-2024-7399 (8,8 бала за шкалою CVSS), описується як «некоректне обмеження імені шляху до закритого каталогу в Samsung MagicINFO 9 Server». У результаті ця проблема може використовуватися для запису довільних файлів із системними привілеями.

Оскільки ім’я файлу, що вводиться, не перевіряється належним чином, не проводиться перевірка розширення файлу та аутентифікації користувача. У результаті неавторизований зловмисник отримує можливість завантажувати JSP-файли і виконувати довільний код на стороні сервера із системними привілеями.

«Вразливість дає змогу неаутентифікованим користувачами записувати довільні файли, що в кінцевому підсумку може призвести до віддаленого виконання коду, якщо проблема використовується для запису спеціально підготовлених файлів JavaServer Pages (JSP)», – пишуть фахівці Arctic Wolf.

Хоча раніше про експлуатацію цієї вразливості не повідомлялося, аналітики Arctic Wolf зазначають, що незабаром після того, як фахівці SSD-Disclosure опублікували технічний опис проблеми та PoC-експлоїт 30 квітня 2025 року, вразливість почали використовувати в атаках.

Також повідомляється, що CVE-2024-7399 вже використовується Mirai-ботнетом для захоплення контролю над вразливими пристроями.

Організаціям і користувачам рекомендується якомога швидше оновити MagicINFO 9 Server до версії 21.1050 або новішої.