截至 2025 年 5 月初,Arctic Wolf 已观察到三星 MagicINFO 9 服务器(用于管理和远程控制数字标牌显示器的内容管理系统 (CMS))中存在 CVE-2024-7399 漏洞的利用情况。该漏洞允许未经身份验证的用户写入任意文件,并且当该漏洞被用于编写特制的 JavaServer Pages (JSP) 文件时,最终可能导致远程代码执行。
该高危漏洞最初由三星于 2024 年 8 月在安全研究人员负责任地披露后公开,当时尚未报告任何利用情况。2025 年 4 月 30 日,一篇新的研究文章发布了,其中包含技术细节和概念验证 (PoC) 漏洞利用代码(见文章尾部)。该漏洞发布后数日内就被发现利用。
鉴于该漏洞的利用门槛较低且已有公开的 PoC,威胁行为者可能会继续瞄准该漏洞。Arctic Wolf 将持续监控与该漏洞相关的恶意入侵后活动,并在发现恶意活动时根据需要向托管检测和响应客户发出警报。
技术细节
CVE-2024-7399 源于三星 MagicINFO 9 服务器输入验证逻辑中的一个缺陷,该缺陷对文件名输入进行了不当处理。此过程在执行时未验证文件扩展名,也未检查执行请求的用户是否已通过身份验证。因此,未经身份验证的威胁行为者可以上传 JSP 文件,并在存在漏洞的服务器上以系统权限执行任意代码。
针对 CVE-2024-7399 的建议
升级到最新修复版本
Arctic Wolf 强烈建议客户将 Samsung MagicINFO 升级到最新的修复版本。
产品 | 受影响版本 | 修复版本 |
---|---|---|
|
|
|
请遵循您组织的修补和测试指南,以尽量减少潜在的运营影响。
poc:https://ssd-disclosure.com/ssd-advisory-samsung-magicinfo-unauthenticated-rce/
原文始发于微信公众号(独眼情报):PoC | 三星 MagicINFO 9 服务器中的漏洞 (CVE-2024-7399) 被利用
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论