Samsung MagicINFO : une faille de sécurité est exploitée pour déployer le Botnet Mirai !
Samsung a publié un correctif de sécurité pour corriger une faille de sécurité critique découverte dans son logiciel MagicINFO 9 Server. Il y a urgence : cette vulnérabilité est déjà exploitée par les cybercriminels, notamment pour déployer le botnet Mirai.
Pour ceux qui ne connaissent pas Samsung MagicINFO, il s'agit d'un logiciel de gestion d'écrans dynamiques. Vous pouvez utiliser ce logiciel pour piloter votre parc d'écrans dans le but de diffuser des contenus, selon un planning.
Associée à la référence CVE-2025-4632 et à un score CVSS de 9,8 sur 10, cette faille de sécurité critique correspond à une faiblesse de type path traversal. En exploitant cette vulnérabilité, un attaquant peut écrire des fichiers arbitraires sur le serveur MagicINFO, en héritant des privilèges du système.
Cette faille de sécurité est liée à une ancienne vulnérabilité déjà patchée par Samsung en août 2024 : la CVE-2024-7399. En effet, la nouvelle vulnérabilité contourne le correctif déployé précédemment par Samsung.
L’entreprise Huntress, spécialisée en cybersécurité, a été la première à révéler l’existence de cette vulnérabilité non corrigée après avoir observé des signes d’attaques sur des serveurs MagicINFO à jour, en version 21.1050. Dans un rapport publié le 9 mai, elle détaille trois incidents de sécurité distincts où les attaquants ont téléchargé des fichiers comme srvany.exe et services.exe, ou exécuté des commandes de reconnaissance.
"Bien que plus de 75 machines différentes aient été installées avec MagicINFO chez nos clients, Huntress n'a constaté que trois incidents distincts liés à cette vulnérabilité.", peut-on lire dans leur rapport. Ils font aussi référence à une adresse IP malveillante utilisée pour récupérer l'exécutable malveillant : 185.225.226[.]53.
Plus préoccupant encore, peu après la publication d’un exploit PoC le 30 avril 2025, la CVE-2025-4632 a été exploitée activement pour déployer le tristement célèbre botnet Mirai.
Comment se protéger ?
La faille de sécurité CVE-2025-4632 concerne toutes les versions de MagicINFO 9 Server antérieures à la version 21.1052. Vous l'aurez compris, c'est donc la version 21.1052 que vous devez installer pour vous protéger. Vous pouvez la récupérer sur cette page.
Ainsi, les utilisateurs de MagicINFO sont fortement incités à appliquer le correctif de sécurité dès que possible. En principe, les serveurs MagicINFO n'ont pas vocation à être exposés sur Internet, mais il n'est pas à exclure que ce soit le cas pour certaines instances...
