_%D0%BE%D0%B1%D1%80%D0%B0%D0%B1%D0%BE%D1%82%D0%B0%D0%BD%D0%BE.png)
Компаниям,
использующим Samsung MagicINFO, платформу для управления контентом на
коммерческих цифровых дисплеях Samsung, следует обновить до последней доступной
версии ветку v9, чтобы устранить уязвимость, которой, как сообщается,
пользуются злоумышленники.
Если этот совет
кажется вам знакомым, то это потому, что он является повторением вызова, который
произошёл десять дней назад, когда исследователи обнаружили, что злоумышленники
пытались скомпрометировать компьютеры, на которых работал серверный компонент
платформы, используя уязвимость в обход защиты.
В то время
исследователи считали, что уязвимость, о
которой идёт речь, — это CVE-2024-7399 (якобы исправленная в августе 2024
года), поскольку демонстрационный эксплойт для такой уязвимости был опубликован 30 апреля 2025
года.
Устранение путаницы и противоречивой информации
Поскольку Samsung не
ответила ни исследователю, который обнаружил уязвимость и опубликовал PoC, ни
на запросы СМИ, возникла путаница в отношении того, какая уязвимость
использовалась и какая версия серверного компонента была уязвима.
Исследователь
утверждал, что MagicINFO 9 Server 21.1050 — последняя доступная на тот момент
версия — была уязвима, и исследователи Huntress подтвердили это, поскольку некоторые
из взломанных систем действительно работали на ней.
Затем, 7 мая 2025
года, Samsung выпустила MagicINFO 9
Server (исправление) 21.1052.
На странице компании,
посвящённой обновлениям безопасности, сообщается, что они
устранили CVE-2025-4632 — уязвимость,
связанную с неправильным ограничением пути к ограниченному каталогу, которая
позволяет злоумышленникам записывать произвольные файлы от имени
системы. (CVE-2024-7399 ранее была описана компанией Samsung точно таким
же образом.)
Однако в примечаниях к выпуску MagicINFO 9
Server Hotfix 21.1052 не упоминается CVE-2025-4632 — только CVE-2024-7399.
Поскольку Samsung
по-прежнему не отвечает на запросы, нам остаётся только гадать, действительно
ли уязвимость CVE-2024-7399 была устранена в прошлом году в MagicINFO 9 Server
21.1050 или была устранена в MagicINFO 9 Server (исправление) 21.1052.
Также возможно, что
CVE-2025-4632 — это обходной путь для ранее исправленного CVE-2024-7399, и
Samsung теперь исправила этот обходной путь, но она действительно плохо
предоставляет достоверную информацию.
Хорошая новость
заключается в том, что MagicINFO V9 (исправление) 21.1052 устраняет эту проблему,
что недавно подтвердили исследователи
Huntress.
Плохая новость
заключается в том, что для MagicINFO v8 нет исправления, поэтому пользователям
следует перейти на версию 9 и сделать это особым образом: сначала обновиться до
версии 9 21.1050, а затем до версии 9 (исправление) 21.1052.
Всем клиентам следует
проверить, не были ли скомпрометированы их серверы. В последнем посте SANS
ISC и Huntress содержится
больше информации о действиях злоумышленников во время и после взлома.
Дополнительная интересная информация:
После кражи
Bybit появилось около 600 фишинговых доменов
"Обход
сетевой защиты: Как Fast Flux ставит под угрозу вашу безопасность"
Фишеры все чаще
выдают себя за компании, занимающиеся электронным взиманием платы за проезд
Microsoft
представила более надежную защиту на базе искусственного интеллекта
Обнаружение
данных как первый шаг к защите от кибератак
видео
Южнокорейское
VPN под ударом APT видео
Уязвимость
нулевого дня Apple видео
**МЕТА ТЕГИ:** Samsung, MagicInfo 9, уязвимость, CVE-2024-7399, CVE-2025-4632, обновление безопасности, цифровые дисплеи, злоумышленники, обход защиты, серверный компонент, Huntress, SANS ISC, исправление уязвимости, коммерческие дисплеи.
Комментариев нет:
Отправить комментарий