Samsung ออกแพตช์อัปเดตซอฟต์แวร์เพื่อแก้ไขช่องโหว่ด้านความปลอดภัยระดับ Critical ใน MagicINFO 9 Server ซึ่งกำลังถูกใช้ในการโจมตีอย่างแพร่หลาย
ช่องโหว่ดังกล่าวมีหมายเลข CVE-2025-4632 (คะแนน CVSS 9.8) โดยถูกระบุว่าเป็นช่องโหว่ path traversal
คำแนะนำสำหรับช่องโหว่ดังกล่าวระบุว่า "การจำกัด Pathname ไปยัง Directory อย่างไม่ถูกต้องใน Samsung MagicINFO 9 Server ก่อนเวอร์ชัน 21.1052 ทำให้ผู้โจมตีสามารถเขียนไฟล์โดยใช้สิทธิ์ของ system ได้"
ที่น่าสังเกตก็คือ CVE-2025-4632 เป็นช่องโหว่ patch bypass จาก CVE-2024-7399 ซึ่งเป็นช่องโหว่ path traversal อีกรายการในผลิตภัณฑ์เดียวกันที่ Samsung ได้ทำการแก้ไขไปแล้วในเดือนสิงหาคม 2024
ช่องโหว่ CVE-2025-4632 ได้ถูกนำไปใช้ในการโจมตีจริงแล้วหลังจากที่มีการเผยแพร่ proof-of-concept (PoC) โดย SSD Disclosure เมื่อวันที่ 30 เมษายน 2025 ในบางกรณีถูกใช้เพื่อติดตั้ง Mirai botnet อีกด้วย
แม้ในตอนแรกจะมีการสันนิษฐานว่าการโจมตีดังกล่าวมุ่งเป้าไปที่ช่องโหว่ CVE-2024-7399 แต่บริษัทด้านความมั่นคงปลอดภัยทางไซเบอร์ Huntress ได้เปิดเผยเมื่อสัปดาห์ที่แล้วถึงการพบช่องโหว่ใหม่ที่ยังไม่ได้รับการแก้ไข หลังจากตรวจพบสัญญาณการโจมตีบน MagicINFO 9 Server ที่ใช้งานเวอร์ชันล่าสุด (21.1050)
ในรายงานที่เผยแพร่เมื่อวันที่ 9 พฤษภาคม Huntress เปิดเผยว่า เกิดเหตุการณ์โจมตีที่ม่เกี่ยวข้องกันสามเหตุการณ์โดยใช้ช่องโหว่ CVE-2025-4632 โดยผู้โจมตีที่ไม่เปิดเผยตัวตนได้เรียกใช้ชุดคำสั่งเหมือนกันเพื่อดาวน์โหลด payload เพิ่มเติม เช่น "srvany.exe" และ "services.exe" บนโฮสต์สองเครื่อง และรันคำสั่งเพื่อสำรวจระบบบนโฮสต์ที่สาม
ขอแนะนำให้ผู้ใช้ Samsung MagicINFO 9 Server ดำเนินการอัปเดตแพตช์ล่าสุดโดยเร็วที่สุดเพื่อปกป้องระบบจากภัยคุกคามที่อาจจะเกิดขึ้น
Jamie Levy ผู้อำนวยการฝ่าย adversary tactics ที่ Huntress ให้ข้อมูลกับ The Hacker News ว่า “เราได้ตรวจสอบแล้วว่า MagicINFO 9 เวอร์ชัน 21.1052.0 ช่วยแก้ไขช่องโหว่ที่เกิดขึ้นจาก CVE-2025-4632 ได้”
“เครื่องใดที่ยังใช้เวอร์ชัน v8 - v9 21.1050.0 จะยังคงได้รับผลกระทบจากช่องโหว่นี้ และยังพบว่าการอัปเกรดจาก MagicINFO v8 ไปเป็น v9 21.1052.0 นั้นไม่ง่ายนัก เพราะต้องอัปเกรดเป็น 21.1050.0 ก่อน แล้วจึงติดตั้งแพตช์อัปเดตล่าสุดได้”
ที่มา : thehackernews
You must be logged in to post a comment.