【安全资讯】三星MagicINFO 9服务器RCE漏洞现已被攻击者利用

概要：

近期，黑客利用三星MagicINFO 9服务器中的未认证远程代码执行（RCE）漏洞，成功劫持设备并部署恶意软件。该漏洞的存在使得多个行业的数字标牌管理系统面临严重安全威胁，尤其是在零售、医疗和企业环境中。

主要内容：

三星MagicINFO服务器是一个集中式内容管理系统，广泛应用于零售店、机场、医院等场所，用于远程管理数字标牌。该服务器的文件上传功能原本用于更新显示内容，但黑客利用这一功能上传恶意代码。此漏洞被标记为CVE-2024-7399，最初于2024年8月公开披露，并在版本21.1050中修复。

安全研究人员在2025年4月30日发布了详细的漏洞利用说明和概念验证（PoC），证明攻击者可以通过未认证的POST请求上传恶意.jsp文件，利用路径遍历漏洞将其放置在可通过网络访问的位置。攻击者只需访问上传的文件并附加cmd参数，即可执行任意操作系统命令。

Arctic Wolf报告称，CVE-2024-7399漏洞在PoC发布后不久即被积极利用，表明威胁行为者已在实际操作中采用了这一攻击方法。此外，威胁分析师Johannes Ullrich也确认，Mirai僵尸网络的变种正在利用该漏洞控制设备。鉴于该漏洞的活跃利用状态，建议系统管理员立即通过升级到版本21.1050或更高版本来修补CVE-2024-7399。