Grave vulnerabilità in Samsung MagicINFO 9 Server: attacchi attivi sfruttano la CVE-2025-4632

È stato rilevato lo sfruttamento attivo in rete della vulnerabilità CVE-2025-4632, che interessa la componente server di Samsung MagicINFO 9, piattaforma diffusa per la gestione centralizzata di contenuti e dispositivi digital signage.

La falla, di tipo path traversal e con un punteggio di gravità CVSS pari a 9.8, consente a un attaccante remoto e non autenticato di scrivere file arbitrari sul sistema target, aprendo la strada all’esecuzione di codice malevolo e alla completa compromissione dell’infrastruttura.

Secondo i ricercatori, la CVE-2025-4632 rappresenta un bypass della patch rilasciata per la precedente vulnerabilità CVE-2024-7399, e il suo sfruttamento è stato osservato anche per la distribuzione della botnet Mirai, utilizzata per attacchi DDoS e altre attività malevole. L’exploit è stato reso pubblico tramite proof-of-concept, aumentando significativamente il rischio di attacchi su larga scala subito dopo la pubblicazione della vulnerabilità.

Sono interessate tutte le versioni di MagicINFO 9 Server precedenti alla 21.1052.

Samsung ha già rilasciato una patch risolutiva, ma si raccomanda di aggiornare immediatamente i sistemi e di rimuovere eventuali istanze esposte su internet per ridurre il rischio di compromissione. L’aggiornamento potrebbe richiedere una procedura a più step per chi utilizza versioni molto datate.

Fonti: ACN, The Hacker News, Artic Wolf