PoC | 三星 MagicINFO 9 服务器中的漏洞 (CVE-2024-7399) 被利用

截至 2025 年 5 月初，Arctic Wolf 已观察到三星 MagicINFO 9 服务器（用于管理和远程控制数字标牌显示器的内容管理系统 (CMS)）中存在 CVE-2024-7399 漏洞的利用情况。该漏洞允许未经身份验证的用户写入任意文件，并且当该漏洞被用于编写特制的 JavaServer Pages (JSP) 文件时，最终可能导致远程代码执行。

该高危漏洞最初由三星于 2024 年 8 月在安全研究人员负责任地披露后公开，当时尚未报告任何利用情况。2025 年 4 月 30 日，一篇新的研究文章发布了，其中包含技术细节和概念验证 (PoC) 漏洞利用代码(见文章尾部)。该漏洞发布后数日内就被发现利用。

鉴于该漏洞的利用门槛较低且已有公开的 PoC，威胁行为者可能会继续瞄准该漏洞。Arctic Wolf 将持续监控与该漏洞相关的恶意入侵后活动，并在发现恶意活动时根据需要向托管检测和响应客户发出警报。

技术细节

CVE-2024-7399 源于三星 MagicINFO 9 服务器输入验证逻辑中的一个缺陷，该缺陷对文件名输入进行了不当处理。此过程在执行时未验证文件扩展名，也未检查执行请求的用户是否已通过身份验证。因此，未经身份验证的威胁行为者可以上传 JSP 文件，并在存在漏洞的服务器上以系统权限执行任意代码。

针对 CVE-2024-7399 的建议

升级到最新修复版本

Arctic Wolf 强烈建议客户将 Samsung MagicINFO 升级到最新的修复版本。

请遵循您组织的修补和测试指南，以尽量减少潜在的运营影响。

poc:https://ssd-disclosure.com/ssd-advisory-samsung-magicinfo-unauthenticated-rce/