CVE-2024-7399: Exploit activo permite RCE en servidores Samsung MagicINFO

Los ciberdelincuentes están explotando activamente una vulnerabilidad crítica de ejecución remota de código (RCE) sin autenticación en el servidor Samsung MagicINFO 9, con el objetivo de tomar el control de dispositivos y desplegar malware de forma remota.


¿Qué es Samsung MagicINFO y por qué es vulnerable?

Samsung MagicINFO Server es una solución CMS (Content Management System) centralizada utilizada para la administración remota de pantallas de señalización digital de la marca Samsung. Esta plataforma es ampliamente adoptada en entornos como tiendas minoristas, aeropuertos, hospitales, edificios corporativos y restaurantes, donde es fundamental programar, distribuir, visualizar y monitorear contenido multimedia.

Uno de los componentes del servidor incluye una funcionalidad de carga de archivos, diseñada para actualizar el contenido de las pantallas. Sin embargo, los actores maliciosos han encontrado una forma de abusar de esta función para cargar archivos maliciosos y ejecutar comandos de forma remota.


Detalles técnicos de la vulnerabilidad CVE-2024-7399

La falla, rastreada como CVE-2024-7399, fue divulgada públicamente en agosto de 2024 y corregida con el lanzamiento de Samsung MagicINFO versión 21.1050. El proveedor describió la vulnerabilidad como una "limitación incorrecta del nombre de ruta que permite la escritura de archivos arbitrarios con privilegios de sistema".

El 30 de abril de 2025, el equipo de investigación de SSD-Disclosure publicó un artículo técnico junto a una prueba de concepto (PoC) funcional que demuestra cómo explotar la vulnerabilidad para lograr RCE sin autenticación. El método consiste en enviar una solicitud POST no autenticada que sube un archivo malicioso .jsp, el cual se guarda en una ubicación accesible desde la web. Al acceder a este archivo mediante un parámetro como cmd, los atacantes pueden ejecutar comandos del sistema operativo y visualizar los resultados directamente en el navegador.

Explotación activa y amenaza de malware

Días después de la publicación de la PoC, la firma de ciberseguridad Arctic Wolf confirmó que la vulnerabilidad CVE-2024-7399 está siendo explotada activamente por actores de amenazas en escenarios reales. Esto demuestra que los atacantes han adoptado rápidamente el exploit en sus operaciones.

Citar"Dada la baja barrera de entrada y la disponibilidad pública de la PoC, es probable que los ciberatacantes continúen explotando esta vulnerabilidad", advirtió Arctic Wolf.

Asimismo, el analista de seguridad Johannes Ullrich ha informado la detección de una variante del malware de botnet Mirai que aprovecha esta vulnerabilidad para comprometer sistemas y agregarlos a su red de dispositivos infectados.

Recomendaciones de seguridad para administradores

Debido al estado de explotación activa de esta vulnerabilidad, se insta a los administradores de sistemas a aplicar medidas de mitigación urgentes:

• Actualizar inmediatamente Samsung MagicINFO a la versión 21.1050 o superior.
• Restringir el acceso a la funcionalidad de carga de archivos desde redes públicas o no confiables.
• Supervisar los registros del servidor (logs) en busca de intentos de carga de archivos .jsp o accesos inusuales.
• Implementar reglas de detección en sistemas de seguridad (SIEM, IDS/IPS) que identifiquen tráfico sospechoso relacionado con el patrón de explotación de CVE-2024-7399.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta