据报道,黑客正在利用三星MagicINFO 9服务器中的一个未经身份验证的远程代码执行(RCE)漏洞来劫持设备并部署恶意软件。MagicINFO服务器是一个用于远程管理和控制三星数字标牌显示的集中式内容管理系统,广泛应用于零售店、机场、医院、企业大楼和餐馆等场所。
该漏洞被追踪为CVE-2024-7399,最初于2024年8月公开披露,并在版本21.1050中修复。供应商描述此漏洞为路径限制不当,允许攻击者以系统权限写入任意文件。
2025年4月30日,SSD-Disclosure的安全研究人员发布了一份详细报告及概念验证(PoC)攻击,展示了如何通过JSP web shell在服务器上未经身份验证地实现RCE。攻击者通过未经身份验证的POST请求上传恶意.jsp文件,利用路径遍历将其置于可通过网络访问的位置。
Arctic Wolf报告称,CVE-2024-7399漏洞在概念验证发布后几天内就被用于实际攻击中,显示出威胁行为者已采用公开的攻击方法。Mirai僵尸网络的变种也被发现利用该漏洞来接管设备。鉴于此漏洞的活跃利用状态,建议系统管理员立即升级MagicINFO服务器到21.1050版本或更高版本以修补漏洞。