記事本文(要約)
Samsungのデジタルサイネージ管理製品、MagicINFO Server 9に関する脆弱性CVE-2025-4632が脅威者によって悪用されています。CVE-2025-4632は、パスネームの制限が不十分なため、攻撃者がシステム権限で任意のファイルを書き込むことができる深刻な脆弱性で、CVSSスコアは9.8と非常に高く評価されています。この脆弱性は、バージョン21.1052より前のMagicINFO 9 Serverに影響します。2023年5月8日にリリースされたホットフィックス(21.1052)は、入力の検証ロジックを修正しています。
脆弱性は、認証チェックの不備を利用して、攻撃者がJSPファイルをアップロードし、任意のサーバーサイドコードを実行できる状態で、現実世界で悪用されています。特に、Miraiボットネットを介した攻撃も確認されており、Huntressなどのセキュリティベンダーは、インターネットからMagicINFO 9 Serverのインスタンスを削除することを強く推奨しています。
CVE-2025-4632を利用した攻撃は即座に行われ、セキュリティ研究者たちは、攻撃者が特定のシステムに対してサービスの実行に苦労している様子も観察しています。ユーザーは、該当するMagicINFO Serverのバージョンを修正済みのバージョンにアップグレードし、インターネットに曝されないようにすることが求められています。
※この要約はChatGPTを使用して生成されました。
公開日: Thu, 15 May 2025 19:10:38 GMT
Original URL: https://www.darkreading.com/endpoint-security/attackers-target-samsung-magicinfo-server-bug
詳細な技術情報
以下に、SamsungのMagicINFO Server 9に関するセキュリティ問題の分析を行います。
脆弱性の概要
- CVE番号: CVE-2025-4632
- 脆弱性の仕組み: パス名の不適切な制限により、攻撃者が任意のファイルをシステム権限で書き込むことが可能となります。特に認証されていないユーザーがJSPファイルをアップロードし、サーバーサイドコードを実行する危険があります。
攻撃手法
- 認証の欠如: エンドポイントが認証を怠るため、未認証のユーザーがリクエストを実行可能。
- ファイル拡張子のチェック不足: リクエストに指定されたファイルの拡張子が確認されない。
- パスとファイル名の結合: 提供されたファイル名をパスに結合し、任意の位置にファイルを書き込む。
この脆弱性は、Miraiボットネットの攻撃に利用されているとの報告があります。攻撃者は、「スプレー・アンド・プレイ」手法を用いて、脆弱なサーバーをランダムに攻撃することが示唆されています。
潜在的な影響
- リモートコード実行: 攻撃者はウェブシェルをアップロードして、Apache Tomcatプロセスの下でコードをリモートで実行できます。
- システム権限でのファイル書き込み: 任意のファイルがシステム権限で書き込まれることにより、さらなる攻撃や悪用が可能になる。
推奨される対策
- パッチ適用: Samsungの提供するホットフィックス(バージョン21.1052)を適用することが推奨されます。これにより、入力の検証ロジックが改良され、認証バイパスが防がれます。ただし、ホットフィックスはスタンドアロンインストーラではないため、21.1050からアップデートが必要です。
- インターネット非公開化: 脆弱性が修正されるまで、MagicINFO Server 9のインスタンスをインターネットから非公開にすることが推奨されます。
- ファイアウォールの設定: 必要に応じてファイアウォールの設定を確認し、外部からのアクセスを制限することで、攻撃リスクを低減できます。
- 継続的な監視: 攻撃の兆候を監視することで、迅速な対応が可能となります。また、セキュリティツールを使った監視も推奨されます。
追加情報
- 公開情報: 脆弱性は、2023年1月12日にSamsungに報告され、90日間の開示期間の後、一般に公開されました。
- サポートの不足: 一部の古いバージョンは未だサムスンのウェブサイトでダウンロード可能なため、最新版への更新が不可欠です。
