Blog Voicefy
Voltar ao site

Falha Crítica no Samsung MagicINFO Permite Execução Remota de Código e Implantação de Malware

Por Mizael Xavier
Falha Crítica no Samsung MagicINFO Permite Execução Remota de Código e Implantação de Malware

Nova Vulnerabilidade no Samsung MagicINFO Coloca Sistemas em Risco

Uma falha de segurança crítica foi identificada no Samsung MagicINFO Server, um sistema de gerenciamento de conteúdo (CMS) amplamente utilizado para controlar remotamente telas de sinalização digital. A vulnerabilidade, rastreada como CVE-2024-7399, permite que invasores não autenticados executem código arbitrário com privilégios de sistema, levando ao comprometimento total dos servidores afetados. Essa falha já está sendo ativamente explorada na natureza para implantar malware, incluindo variantes da botnet Mirai.

A empresa de cibersegurança Arctic Wolf e o SANS Technology Institute alertaram sobre a exploração ativa da CVE-2024-7399, que possui uma pontuação CVSS de 8.8, indicando alta severidade. A vulnerabilidade decorre de uma falha na lógica de verificação de entrada do Samsung MagicINFO 9 Server, que não higieniza corretamente o nome de um arquivo. Esse processo é realizado sem validar a extensão do arquivo ou verificar se o usuário que executa a solicitação está autenticado. Como resultado, agentes mal-intencionados não autenticados podem fazer upload de arquivos JSP (JavaServer Pages) e executar código arbitrário com autoridade de sistema em servidores vulneráveis.

Detalhes Técnicos da Exploração da Falha no Samsung MagicINFO

A vulnerabilidade reside especificamente no endpoint `/MagicInfo/servlet/SWUpdateFileUploader`. Esse endpoint, implementado pela classe `SWUpdateFileUploadServlet`, apresenta múltiplas fraquezas de segurança:

  • Não exige autenticação para uploads de arquivos.
  • Aceita um parâmetro `fileName` sem validação adequada ou verificação de extensão.
  • Não neutraliza sequências de "path traversal", permitindo que invasores gravem arquivos em locais arbitrários do servidor.

Essa falta de higienização da entrada permite que os invasores façam upload de arquivos JSP maliciosos (web shells) para locais executáveis no servidor, levando à execução remota de código com privilégios de sistema. A exploração foi observada poucos dias após a publicação de um artigo de pesquisa com detalhes técnicos e uma prova de conceito (PoC) em 30 de abril de 2025.

Impacto e Mitigação da Vulnerabilidade do Samsung MagicINFO

O Samsung MagicINFO Server é utilizado globalmente em diversos setores, como varejo, aeroportos, hospitais e edifícios corporativos, para gerenciar conteúdo multimídia em displays de sinalização digital. A exploração bem-sucedida dessa vulnerabilidade pode levar ao sequestro de dispositivos, implantação de malware e uso dos servidores comprometidos em ataques maiores, como ataques de negação de serviço distribuído (DDoS).

A Samsung lançou um patch para essa vulnerabilidade em agosto de 2024, com a versão 21.1050. No entanto, a empresa de cibersegurança Huntress relatou que mesmo a versão mais recente do Samsung MagicINFO 9 Server pode ser suscetível à PoC, indicando que o patch original pode ter sido incompleto ou para uma vulnerabilidade separada, mas semelhante. A Huntress também confirmou a exploração ativa da falha, observando atividades que incluem a execução de scripts de enumeração e preparação para comprometimento adicional.

Recomenda-se enfaticamente que os administradores de sistemas atualizem imediatamente seus servidores Samsung MagicINFO para a versão 21.1050 ou posterior. Para organizações que não podem aplicar o patch imediatamente, as seguintes medidas de mitigação são aconselhadas:

  • Isolar os servidores MagicINFO da internet.
  • Monitorar o tráfego de rede em busca de uploads de arquivos suspeitos ou solicitações POST.
  • Auditar os sistemas em busca de arquivos JSP inesperados ou atividade administrativa não autorizada.

A Importância da Gestão de Vulnerabilidades

Este incidente ressalta os riscos da adoção tardia de patches e a rápida armamentização de vulnerabilidades divulgadas. Especialistas alertam que sistemas de sinalização digital, muitas vezes negligenciados nas estratégias de segurança, podem se tornar vetores para ataques crescentes se não forem corrigidos. A empresa Arctic Wolf enfatizou que "os setores de infraestrutura crítica devem priorizar o gerenciamento de vulnerabilidades, especialmente para sistemas voltados para a Internet. Os agentes de ameaças são ágeis – os defensores precisam ser mais rápidos." A exploração dessa falha no Samsung MagicINFO serve como um lembrete crítico da necessidade de vigilância contínua e práticas robustas de cibersegurança.

Mizael Xavier

Mizael Xavier

Desenvolvedor e escritor técnico

Ver todos os posts

Compartilhar:

Posts relacionados