Samsung ออกแพตช์อัปเดตซอฟต์แวร์เพื่อแก้ไขช่องโหว่ด้านความปลอดภัยระดับ Critical ใน MagicINFO 9 Server ซึ่งกำลังถูกใช้ในการโจมตีอย่างแพร่หลาย

ช่องโหว่ดังกล่าวมีหมายเลข CVE-2025-4632 (คะแนน CVSS 9.8) โดยถูกระบุว่าเป็นช่องโหว่ path traversal

คำแนะนำสำหรับช่องโหว่ดังกล่าวระบุว่า "การจำกัด Pathname ไปยัง Directory อย่างไม่ถูกต้องใน Samsung MagicINFO 9 Server ก่อนเวอร์ชัน 21.1052 ทำให้ผู้โจมตีสามารถเขียนไฟล์โดยใช้สิทธิ์ของ system ได้"

ที่น่าสังเกตก็คือ CVE-2025-4632 เป็นช่องโหว่ patch bypass จาก CVE-2024-7399 ซึ่งเป็นช่องโหว่ path traversal อีกรายการในผลิตภัณฑ์เดียวกันที่ Samsung ได้ทำการแก้ไขไปแล้วในเดือนสิงหาคม 2024

ช่องโหว่ CVE-2025-4632 ได้ถูกนำไปใช้ในการโจมตีจริงแล้วหลังจากที่มีการเผยแพร่ proof-of-concept (PoC) โดย SSD Disclosure เมื่อวันที่ 30 เมษายน 2025 ในบางกรณีถูกใช้เพื่อติดตั้ง Mirai botnet อีกด้วย

แม้ในตอนแรกจะมีการสันนิษฐานว่าการโจมตีดังกล่าวมุ่งเป้าไปที่ช่องโหว่ CVE-2024-7399 แต่บริษัทด้านความมั่นคงปลอดภัยทางไซเบอร์ Huntress ได้เปิดเผยเมื่อสัปดาห์ที่แล้วถึงการพบช่องโหว่ใหม่ที่ยังไม่ได้รับการแก้ไข หลังจากตรวจพบสัญญาณการโจมตีบน MagicINFO 9 Server ที่ใช้งานเวอร์ชันล่าสุด (21.1050)

ในรายงานที่เผยแพร่เมื่อวันที่ 9 พฤษภาคม Huntress เปิดเผยว่า เกิดเหตุการณ์โจมตีที่ม่เกี่ยวข้องกันสามเหตุการณ์โดยใช้ช่องโหว่ CVE-2025-4632 โดยผู้โจมตีที่ไม่เปิดเผยตัวตนได้เรียกใช้ชุดคำสั่งเหมือนกันเพื่อดาวน์โหลด payload เพิ่มเติม เช่น "srvany.