Falha no Samsung MagicINFO Permite Execução Remota de Código e Distribuição de Malware
Alerta de Segurança: Vulnerabilidade Crítica no Samsung MagicINFO
Uma vulnerabilidade de segurança crítica foi identificada no software de gerenciamento de sinalização digital Samsung MagicINFO. A falha, rastreada como CVE-2024-7399, permite que invasores não autenticados executem código remotamente e distribuam malware, como a botnet Mirai. A Samsung já liberou uma correção para essa vulnerabilidade em agosto de 2024, mas a exploração ativa começou recentemente, após a publicação de uma prova de conceito (PoC) no final de abril de 2025.
Detalhes da Vulnerabilidade CVE-2024-7399 no Samsung MagicINFO
A vulnerabilidade reside em uma limitação inadequada de um nome de caminho para um diretório restrito no servidor Samsung MagicINFO 9. Especificamente, o endpoint `/MagicInfo/servlet/SWUpdateFileUploader` implementado pela classe `SWUpdateFileUploadServlet` contém múltiplas falhas de segurança. Isso permite que invasores escrevam arquivos arbitrariamente com autoridade de sistema, o que pode levar à execução remota de código, especialmente ao gravar arquivos JavaServer Pages (JSP) criados para esse fim. A falha possui uma pontuação de severidade de 8.8.
Impacto e Exploração Ativa da Falha no Samsung MagicINFO
Após a divulgação da PoC, observou-se um aumento na exploração dessa vulnerabilidade para distribuir uma variante do malware Mirai, conhecida como LZRD. Essa botnet é comumente utilizada para realizar ataques de negação de serviço distribuído (DDoS). Embora o servidor Samsung MagicINFO seja tipicamente instalado em sistemas operacionais Windows Server, que não são alvos comuns dos operadores da botnet Mirai, a exploração dessa falha demonstra a adaptabilidade dos cibercriminosos.
A Akamai Technologies, empresa de cibersegurança, detectou campanhas ativas explorando essa e outras vulnerabilidades em dispositivos IoT, como os da GeoVision, para integrar os aparelhos a botnets Mirai.
O que é o Samsung MagicINFO?
O Samsung MagicINFO é uma plataforma completa para gerenciamento de conteúdo, dispositivos e dados em sinalizações digitais. Ele é composto por três componentes principais: Autor (para criação de conteúdo), Servidor (para gerenciamento e distribuição) e Player (para reprodução de conteúdo em diversos formatos). A plataforma é utilizada por empresas de diversos segmentos para controlar remotamente o conteúdo exibido em telas, acessar configurações de hardware e solucionar problemas. A Samsung destaca a segurança da plataforma, mencionando certificações ISO (ISO27001 e ISO27701) para garantir um alto nível de proteção.
Recomendações e Mitigação para Usuários do Samsung MagicINFO
A Samsung corrigiu a vulnerabilidade CVE-2024-7399 na versão 21.1050 do MagicINFO 9 Server, lançada em agosto de 2024. É crucial que todos os usuários atualizem seus sistemas para esta versão ou uma mais recente o mais rápido possível para se protegerem contra essas explorações ativas.
Além da atualização específica, é fundamental adotar boas práticas de segurança para sistemas de sinalização digital:
- Atualizações Constantes: Manter todo o software e firmware atualizados para proteger contra novas vulnerabilidades.
- Senhas Fortes e Autenticação Multifator: Implementar senhas robustas e, sempre que possível, autenticação de dois fatores.
- Monitoramento de Rede: Utilizar firewalls e sistemas de detecção de intrusos para proteger a rede e os dispositivos.
- Gerenciamento de Acesso: Controlar rigorosamente quem tem acesso aos sistemas e quais permissões são concedidas.
- Backups Regulares: Realizar cópias de segurança dos dados importantes para garantir a recuperação em caso de incidentes.
A exploração de vulnerabilidades em softwares como o Samsung MagicINFO destaca a importância da vigilância constante e da aplicação proativa de medidas de segurança para proteger os ativos digitais contra ameaças cibernéticas em evolução.
