A Samsung publicou uma atualização de segurança para o MagicINFO 9 Server a fim de corrigir a vulnerabilidade crítica CVE-2025-4632, que já está sendo explorada em ataques reais. A falha permite gravação arbitrária de arquivos como conta de sistema, ignorando restrições de diretório. O CVSS atribuído é 9,8.
Leia também
Convergência de TI e OT continua a elevar riscos
Grupo de ransomware desaparece sem deixar pistas
Trata-se de uma variação da falha CVE-2024-7399, corrigida anteriormente. Após a publicação de um código de prova de conceito em 30 de abril, invasores passaram a explorar a nova falha para instalar componentes do botnet Mirai, mesmo em sistemas sem senha definida.
A Huntress detectou incidentes em sistemas atualizados para a versão 21.1050.0, o que levou à identificação da nova vulnerabilidade. Os ataques envolveram execução remota de comandos e download de binários como “srvany.exe” e “services.exe”.
Três incidentes distintos foram rastreados com um padrão idêntico de ataque, permitindo mapear com precisão o vetor explorado. A versão 21.1052.0 do MagicINFO 9, já publicada, é a única que bloqueia totalmente o CVE-2025-4632, mas exige a instalação prévia da versão 21.1050.0.
A Huntress orienta que os usuários atualizem imediatamente para a versão mais recente, especialmente em ambientes que ainda operam com versões entre o MagicINFO v8 e o v9 21.1050.0.
