Samsung MagicINFO CVE-2025-4632: path traversal patch bypass distribuisce botnet Mirai, oltre un anno di sfruttamento attivo

La CVE-2025-4632 (CVSS 9.8) è una vulnerabilità di tipo Path Traversal nel componente server di Samsung MagicINFO 9, la piattaforma all-in-one per la gestione di contenuti e dispositivi digital signage. Secondo i ricercatori di sicurezza, si tratta di un patch bypass rispetto a CVE-2024-7399 — per la quale Samsung aveva rilasciato una correzione ad agosto 2024 — che lasciava intatta la possibilità di traversare directory e scrivere file arbitrari con privilegi SYSTEM. Lo sfruttamento iniziò rapidamente dopo la pubblicazione di un PoC da parte di SSD Disclosure il 30 aprile 2025.

Huntress ha documentato almeno tre incidenti distinti in cui gli attaccanti hanno sfruttato la flaw per eseguire comandi identici volti a scaricare payload aggiuntivi, condurre ricognizione e — in più casi — distribuire varianti della botnet Mirai, sfruttando la connettività di rete permanente dei display digitali.

SC Media segnala che il percorso di upgrade da MagicINFO v8 a v9 richiede un passaggio intermedio attraverso la versione 21.1050.0 prima di poter applicare il fix finale 21.1052.0. La CISA aveva inserito la CVE nel catalogo KEV già il 22 maggio 2025 con scadenza al 12 giugno; l'alert ACN è stato aggiornato al 27 aprile 2026 confermando sfruttamento ancora attivo. Secondo The Hacker News, il rischio è amplificato dal fatto che molti sistemi MagicINFO sono esposti su internet per consentire la gestione remota dei display.

Versioni affette: Samsung MagicINFO 9 Server < 21.1052 (incluse versioni v8-v9 21.1050.0).
Azione raccomandata: aggiornare a MagicINFO 9 Server 21.1052 o superiore; seguire il percorso di upgrade in due fasi se si parte da v8; verificare la presenza di file anomali scritti fuori dalle directory previste e monitorare il traffico in uscita verso IP C2 Mirai noti.

Fonti: ACN, The Hacker News, SC Media