Samsung MagicINFO 9 Server üzerinde RCE Açığı Nedir?
Bu açığı nasıl kullanıyorlar?
Hangi sistemlerde Samsung MagicINFO Server kullanılıyor?
CVE-2024-7399 açığı nasıl ortaya çıktı?
Nasıl bir saldırı şekli uygulanıyor?
Bu açığın etkileri nelerdir?
Sistem yöneticileri ne yapmalı?
Bu açığı nasıl kullanıyorlar?
Samsung MagicINFO 9 Server üzerinde bulunan CVE-2024-7399 kodlu uzaktan kod yürütme (RCE) açığı, kötü niyetli kişiler tarafından kullanılarak cihazların ele geçirilmesine ve zararlı yazılımların yüklenmesine olanak tanımaktadır. Özellikle, saldırganlar, sunucunun içerik güncelleme amacıyla sağlanan dosya yükleme işlevini kötüye kullanarak, kötü niyetli .jsp dosyalarını yüklemektedir. Bu dosyalar, yetkisiz bir POST isteği ile sunucuya iletilmektedir.
Hangi sistemlerde Samsung MagicINFO Server kullanılıyor?
Samsung MagicINFO Server, genellikle perakende mağazaları, havaalanları, hastaneler, kurumsal binalar ve restoranlar gibi çeşitli sektörlerde kullanılmaktadır. Bu sistem, dijital tabela gösterimlerini uzaktan yönetmek, içerik dağıtmak ve görüntülemek için kullanılmaktadır. Yani, bu tür yerlerde içerik yönetimini kolaylaştırmak adına kritik bir rol oynamaktadır.
CVE-2024-7399 açığı nasıl ortaya çıktı?
CVE-2024-7399 açığı ilk olarak Ağustos 2024’te kamuoyuna duyuruldu. Güvenlik açığı, Samsung MagicINFO 9 Server’ın, kısıtlı dizinlere dosya yazma yetkisini kötüye kullanılmasına olanak tanıyan bir "yetersiz yol kısıtlaması" hatası olarak tanımlandı. Bu açıklama, v21.1050 sürümünün yayınlanmasıyla birlikte düzeltilmiştir. Ancak, açığın PoC (Proof of Concept) versiyonu, 30 Nisan 2025 tarihinde SSD-Disclosure güvenlik araştırmacıları tarafından yayımlandı.
Nasıl bir saldırı şekli uygulanıyor?
Saldırgan, unauthenticated POST isteğiyle sunucuya bir .jsp dosyası yüklemektedir. Bu dosya, belirli bir dizine kaydedilmektedir ve ardından yüklenen dosya, bir cmd parametresi ile çağrılabilmektedir. Bu sayede, saldırgan işletim sistemine ait rastgele komutları çalıştırabilir ve tarayıcıda çıktı alabilir. Dolayısıyla, bu yöntemle kullanıcıların gizli bilgilerine ulaşmak ve cihazları ele geçirmek mümkün hale gelmektedir.
Bu açığın etkileri nelerdir?
CVE-2024-7399 açığının aktif olarak istismar edildiği bildirilmiştir. Arctic Wolf araştırmaları, PoC‘nin yayımlanmasından kısa bir süre sonra, bu açığın kullanılarak gerçekleştirilen saldırılara tanıklık ettiklerini göstermektedir. Özellikle, Mirai botnet gibi zararlı yazılımlar bu açığı kullanarak cihazları ele geçirmektedir. Açığın etkin biçimde istismar edilmesi, potansiyel olarak geniş çapta bilgi sızıntıları ve sistemlerin düşmesine yol açabilmektedir.
Sistem yöneticileri ne yapmalı?
CVE-2024-7399 açığının etkilerini minimize etmek için, sistem yöneticilerinin hemen harekete geçmeleri gerekmektedir. Samsung MagicINFO Server‘ın en son sürümü olan v21.1050 veya daha yenisine güncellemeleri önerilmektedir. Güncelleme işlemleri, bu tür açıklara karşı alınacak en etkili önlemdir. Ayrıca, sistem güvenliğini artırmak için, kullanıcılerin erişim haklarının gözden geçirilmesi ve düzenli güvenlik taramaları yapılması önem teşkil etmektedir.
Sonuç olarak, Samsung MagicINFO 9 Server üzerinde bulunan CVE-2024-7399 açığı, kötü niyetli kullanıcılar tarafından ele geçirilme amacıyla aktif biçimde istismar edilmektedir. Bu durum, sistem yöneticileri ve işletmeler için ciddi bir tehdit oluşturmaktadır. Güvenliğin sağlanması için gerekli güncellemelerin yapılması ve proaktif önlemlerin alınması büyük önem taşımaktadır.
