Samsung corrige vulnerabilidad crítica en MagicINFO 9 Server

Samsung ha lanzado una actualización de seguridad urgente para solucionar una vulnerabilidad crítica en su software MagicINFO 9 Server, la cual ha sido explotada activamente en ataques reales. Identificada como CVE-2025-4632 y con una puntuación CVSS de 9.8, esta falla representa un riesgo grave para los servidores vulnerables.

¿Qué es la vulnerabilidad CVE-2025-4632 en Samsung MagicINFO?

La vulnerabilidad CVE-2025-4632 es una falla de recorrido de directorio (path traversal) que afecta a las versiones de MagicINFO 9 Server anteriores a 21.1052. Según el aviso oficial:

Citar"La limitación incorrecta del nombre de ruta permite a los atacantes escribir archivos arbitrarios con privilegios de sistema."

Esto significa que un actor malicioso puede manipular rutas de archivos para escribir y ejecutar código malicioso como SYSTEM, lo que puede dar lugar a la comprometida total del servidor.

CVE-2025-4632: una omisión de parche de una falla anterior

Cabe destacar que esta vulnerabilidad es una omisión de parche (patch bypass) de la CVE-2024-7399, una falla similar también relacionada con el cruce de rutas (directory traversal) en MagicINFO, que Samsung había corregido en agosto de 2024. Sin embargo, el parche resultó incompleto, y CVE-2025-4632 emergió como una versión más severa y aún sin mitigar hasta ahora.

Explotación activa y relación con la botnet Mirai

El exploit comenzó a circular poco después de que SSD Disclosure publicara una prueba de concepto (PoC) el 30 de abril de 2025, lo que facilitó a los atacantes aprovechar esta falla para comprometer sistemas. Según la firma de ciberseguridad Huntress, algunos ataques han incluido la distribución de la botnet Mirai, conocida por convertir dispositivos comprometidos en parte de una red zombi utilizada para ataques DDoS y otras actividades maliciosas.

Inicialmente se creyó que los ataques estaban dirigidos a la vulnerabilidad CVE-2024-7399. Sin embargo, tras investigar incidentes recientes en sistemas totalmente actualizados, Huntress descubrió que los atacantes estaban explotando una nueva vulnerabilidad aún sin parches: CVE-2025-4632.

Detalles de los ataques registrados

En un informe publicado el 9 de mayo de 2025, Huntress documentó tres incidentes separados en los que actores no identificados ejecutaron el mismo conjunto de comandos maliciosos:

• Descarga de archivos como srvany.exe y services.exe en dos sistemas diferentes.
• Ejecución de comandos de reconocimiento en otro servidor afectado.

Este comportamiento sugiere un patrón organizado de ataque y explotación activa de la vulnerabilidad en entornos productivos.

¿Qué versiones de Samsung MagicINFO están afectadas?

La falla afecta a todas las versiones entre MagicINFO v8 y v9 hasta la versión 21.1050.0. Samsung confirmó que la versión 21.1052.0 mitiga completamente la vulnerabilidad CVE-2025-4632. Sin embargo, el proceso de actualización no es directo.

Citar"Actualizar de MagicINFO v8 directamente a la versión 21.1052.0 no es posible sin pasar antes por la versión intermedia 21.1050.0", advirtió Jamie Levy, director de tácticas de adversarios en Huntress.

Recomendaciones para mitigar el riesgo

Samsung y expertos en ciberseguridad recomiendan encarecidamente a todos los usuarios de MagicINFO Server tomar las siguientes medidas para proteger sus sistemas:

• ctualizar inmediatamente a la versión 21.1052.0 de MagicINFO 9 Server.
• Verificar que no se encuentren ejecutando versiones vulnerables (v8 - v9 hasta 21.1050.0).
• Revisar logs de actividad sospechosa, especialmente descargas no autorizadas y cambios en archivos del sistema.
• Implementar controles de acceso y segmentación de red para minimizar el impacto de posibles intrusiones.
• Aplicar parches de seguridad de manera regular y revisar los boletines de vulnerabilidades de Samsung.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta