Корпорация Samsung выпустила обновление безопасности для MagicINFO 9 Server, устраняющее критическую уязвимость , которая уже использовалась хакерами в реальных атаках. Речь идёт о CVE-2025-4632 – уязвимости с оценкой CVSS 9.8, связанной с обходом путей (path traversal). Проблема позволяет злоумышленникам записывать произвольные файлы от имени системной учетной записи, обходя ограничения директорий.
Особую тревогу вызывает тот факт, что CVE-2025-4632 является обходом ранее устранённой уязвимости CVE-2024-7399, обнаруженной и закрытой в августе 2024 года. Несмотря на исправление, новая проблема сделала возможным повторное использование той же схемы обхода, но с иными векторами. После публикации proof-of-concept кода специалистами SSD Disclosure 30 апреля 2025 года, уязвимость быстро попала в арсенал злоумышленников. В некоторых случаях она использовалась для загрузки компонентов ботнета Mirai, известного своими атаками на IoT-устройства.
Компания Huntress первой обратила внимание на странную активность в системах с последней на тот момент версией MagicINFO (21.1050.0), где, казалось бы, все уязвимости уже были устранены. Расследование выявило новую проблему – CVE-2025-4632 – которая позволяла атакующим выполнять одни и те же команды на разных хостах. Среди них загрузка исполняемых файлов вроде “srvany.exe” и “services.exe”, а также действия, связанные с разведкой системы.
В опубликованном 9 мая отчёте Huntress указала на три инцидента с эксплуатацией CVE-2025-4632, в которых участвовали неизвестные группы, использовавшие идентичный сценарий атаки. Это позволило точно отследить вектор вторжения и методику действий нарушителей.
Samsung уже выпустила обновление MagicINFO 9 версии 21.1052.0, которое закрывает указанную уязвимость. Однако переход на эту версию требует сначала установки промежуточного обновления 21.1050.0, что может осложнить оперативное закрытие уязвимости для части пользователей. Особенно уязвимы остаются системы, работающие на MagicINFO версий от v8 до v9 21.1050.0 .
Huntress настоятельно рекомендует немедленно обновить ПО до версии 21.1052.0. По словам директора по противодействию злоумышленникам Джейми Леви, только эта версия полностью устраняет возможность эксплуатации CVE-2025-4632. В противном случае хост может остаться уязвимым к атакам с возможностью запуска произвольных программ и проникновения вглубь инфраструктуры.