Samsung ha recentemente rilasciato importanti aggiornamenti di sicurezza per il software MagicINFO 9 Server, risolvendo una vulnerabilità critica identificata come CVE-2025-4632. Questo difetto, con un punteggio CVSS di 9.8, è stato sfruttato attivamente in attacchi reali ed è classificato come vulnerabilità di path traversal. Una gestione impropria dei percorsi all’interno del server permetteva agli aggressori di scrivere file arbitrari con privilegi di sistema, aprendo così la strada a compromissioni molto gravi.

CVE-2025-4632 e la patch bypass

CVE-2025-4632 rappresenta un caso di patch bypass, cioè va a colmare le lacune lasciate dalla precedente correzione di CVE-2024-7399, una vulnerabilità simile sempre in MagicINFO, risolta da Samsung ad agosto 2024. La nuova falla è stata sfruttata subito dopo la pubblicazione di un proof-of-concept da parte di SSD Disclosure il 30 aprile 2025. Gli attaccanti hanno approfittato di questa finestra temporale per lanciare attacchi, in alcuni casi anche con la finalità di distribuire il noto malware Mirai botnet.

Analisi degli attacchi e delle versioni coinvolte

All’inizio si pensava che gli attacchi sfruttassero ancora la vecchia CVE-2024-7399, ma le analisi di Huntress hanno rivelato la presenza di una vulnerabilità ancora non corretta, riscontrata perfino nelle versioni più recenti del software, come la 21.1050. Successivamente, Huntress ha documentato tre incidenti distinti in cui attori sconosciuti hanno utilizzato la CVE-2025-4632 per eseguire comandi malevoli sui server colpiti. Tra le azioni riscontrate, il download di file aggiuntivi come srvany.exe e services.exe e una serie di comandi di ricognizione, segno di una compromissione avanzata.

Raccomandazioni di aggiornamento

Samsung e gli esperti di sicurezza raccomandano a tutti gli utenti di MagicINFO 9 Server di applicare immediatamente l’aggiornamento alla versione 21.1052.0, che risolve efficacemente questa vulnerabilità. È importante sottolineare che il percorso di aggiornamento non è immediato: chi utilizza ancora la versione 8 deve prima passare alla 21.1050.0 e solo dopo potrà installare la patch finale. Le versioni comprese tra la 8 e la 9 21.1050.0 restano vulnerabili se non aggiornate.

Rischi legati al mancato aggiornamento

L’importanza di questa patch è cruciale per la sicurezza delle infrastrutture che utilizzano MagicINFO 9 Server. Ritardare l’aggiornamento espone i sistemi al rischio di attacchi automatizzati, come quelli perpetrati dalla botnet Mirai, che mira a controllare dispositivi vulnerabili su larga scala. Aggiornare tempestivamente è quindi la migliore protezione contro potenziali exploit e attività malevole.