出典: EDU Vision via Alamy Stock Photo
脅威アクターがSamsungのデジタルサイネージ管理製品MagicINFO Server 9の脆弱性を悪用しています。
4月30日、Samsung MagicINFO 9 Serverの現在のバージョンに影響を与える脆弱性であるCVE-2025-4632の概念実証(POC)エクスプロイトが公開されました。この脆弱性は、組織のデジタルディスプレイサイネージを運用するために使用されるコンテンツおよびデバイス管理ツールです。このPOCは、昨年公開され修正された制限付きディレクトリ脆弱性CVE-2024-7399に対してパッチが適用されたバージョン、21.1050までをバイパスします。
国家脆弱性データベースは、CVE-2025-4632を「Samsung MagicINFO 9 Serverバージョン21.1052より前のバージョンにおける制限付きディレクトリへのパス名の不適切な制限により、攻撃者がシステム権限として任意のファイルを書き込むことができる」と説明しています。この重大な脆弱性には、可能な限り高いスコアの1つである基本CVSS 3.1スコア9.8が割り当てられました。
Dark ReadingはSamsungに追加情報を求めましたが、広報担当者は直接のコメントを控え、代わりにセキュリティアドバイザリへのリンクを提供しました。そこには、5月8日に発行されたMagicINFO 9 Serverホットフィックス(21.1052)が共有されています。Samsungはパッチノートで、「入力の検証ロジックを修正する」と説明しています。
脅威アクターがCVE-2025-4632を悪用
初期POCエクスプロイトを含むセキュリティアドバイザリによれば、バグ開示グループSSD Secure Disclosureが1月12日にSamsungに問題を報告しました。90日間の開示期間と追加の猶予期間、重複するフォローアップ報告の後、グループは情報を公開しました。Samsungが脆弱性開示プロセスにどの程度協力したかは不明です。
関連記事:RealDefenseパートナープログラムが年間収益1億ドルを超える
SSD Secure Disclosureは、未確認の独立した研究者によって発見されたバイパスが、リクエストを行うユーザーが認証されているかを確認しないエンドポイントを露出させ、リクエストで指定されたファイル拡張子を確認せず、「ファイルが保存されるべきパスにファイル名を連結する」と述べました。
「すべてをまとめると、有効なユーザーを持たずに任意のサーバーサイドコードを実行するためにJSPファイルをアップロードすることが可能です」とアドバイザリに記載されています。
脅威アクターはその後すぐにバイパスを野外で悪用しました。5月5日、SANS Technology Instituteの研究学部長Johannes Ullrichは、脅威アクターがMiraiボットネット攻撃でおそらくバイパスを悪用していると報告しました。同様に、Akamaiは今月初めにGeoVision IoTデバイスの欠陥をMiraiボットネット攻撃で悪用しているアクターを観察しました。
セキュリティベンダーArctic Wolfの研究者は、5月8日に、同社が5月初めから野外での関連する悪用を目撃していると述べました。当時、Arctic Wolfは「強く」組織にMagicINFO 9 Serverのインスタンスをインターネットから削除するよう勧告しました。
関連記事:Ivanti EPMMゼロデイの欠陥が連鎖攻撃で悪用される
悪用後の活動
Huntressは5月7日にも悪用を観察し、修正が利用可能になるまでMagicINFO 9 Serverのインスタンスをインターネットから削除するよう勧告しました。Huntressは述べました、POCは未修正のインスタンスで「認証されていないユーザーがウェブシェルをアップロードし、Apache Tomcatプロセスの下でリモートコード実行を達成することを可能にする」と。
ベンダーは、悪用後の活動に特化した5月9日の投稿でさらなる詳細を提供しました。HuntressのJamie LevyとLindsey O’Donnell-Welchは、MagicINFOがインストールされたHuntressの顧客マシンが75台あるにもかかわらず、新しい脆弱性に関与するインスタンスは3件しか観察されなかったと述べました。
「なぜこれまでにもっと多くの攻撃が見られなかったのかは完全には明らかではありませんが、恐らく私たちの潜在的に影響を受ける顧客の大半がこの簡単なタイプの攻撃から保護するファイアウォールの背後に既にいたためかもしれません」とLevyとO’Donnell-Welchは書いています。
彼らは、少なくとも3件の攻撃のうち2件で、脅威アクターが攻撃を実行するのに困難を抱えていたようだと説明しました。
関連記事:NSOグループの法的敗北がスパイウェアを抑制する可能性は低い
「興味深いことに、最初のホストで攻撃者はスクリプト化されたコマンドでサービスを実行するのにいくつかの困難に直面したようです。サービスが開始されなかったため、彼らは再度攻撃を試みました。しかし、彼らの最善の努力にもかかわらず、サービスは依然として開始されませんでした。これはシステムイベントログを調べ、サービスがインストールされた後に開始に失敗したことを示すエントリを見つけることで確認されました」とブログ投稿に記載されています。
研究者たちは続けて、「2番目のホストでは、サービスがインストールされたことを示すエントリが1つしかなく、失敗したことを示すエントリはありませんでした。また、サービスが実行されていることを示すEDRデータからダウンロードされたバイナリの実行の証拠もありました」と述べました。
Huntressの敵対者戦術ディレクターであるLevyは、Dark Readingにメールで、脅威アクターが「スプレーアンドプレイ」方式で悪用を試みたようだと述べています。「サーバーをすばやく特定するというよりも、運が良ければ見つかるということです。しかし、彼らがこの実行中のサービスを簡単に特定できると想像します」と彼女は言います。
X上で、Huntressの脅威ハンティングマネージャーであるJai Mintonは、MagicINFO Server 9 21.1052が問題を軽減するが、ホットフィックスであるため、バージョンはスタンドアロンインストーラーではないと書きました。つまり、ユーザーは21.1052に更新する前にMagicINFO Server 9 21.1050をインストールしている必要があります。さらに、Mintonは「古いバージョンが依然としてSamsungのウェブサイトでデフォルトのダウンロードである」と述べました。
防御者は、MagicINFOインスタンスを修正されたバージョンにアップグレードし、脆弱なインスタンスがインターネットに接続されていないことを確認するよう勧告されています。
翻訳元: https://www.darkreading.com/endpoint-security/attackers-target-samsung-magicinfo-server-bug