Samsung ha publicado actualizaciones de software para abordar un defecto de seguridad crítico en el servidor MagicInfo 9 que ha sido explotado activamente en la naturaleza.
La vulnerabilidad, rastreada como CVE-2025-4632 (puntaje CVSS: 9.8), se ha descrito como una falla transversal de ruta.
«La limitación inadecuada de un nombre de ruta a una vulnerabilidad de directorio restringido en la versión del servidor Samsung MagicInfo 9 antes del 21.1052 permite a los atacantes escribir archivos arbitrarios como autoridad del sistema», según un aviso para el defecto.
Vale la pena señalar que CVE-2025-4632 es un bypass de parche para CVE-2024-7399, otro defecto de transferencia de ruta en el mismo producto que fue parcheado por Samsung en agosto de 2024.
CVE-2025-4632 ha sido explotado en la naturaleza poco después de la liberación de una prueba de concepto (POC) por la divulgación de SSD el 30 de abril de 2025, en algunos casos incluso para implementar la botnet de Mirai.
Si bien se suponía inicialmente que los ataques apuntaban a CVE-2024-7399, la compañía de seguridad cibernética Huntress reveló por primera vez la existencia de una vulnerabilidad sin parpadear la semana pasada después de encontrar signos de explotación incluso en instancias de servidor MagicInfo 9 que ejecutan la última versión (21.1050).
En un informe de seguimiento publicado el 9 de mayo, Huntress reveló que tres incidentes separados que involucraron la explotación de CVE-2025-4632, con actores no identificados que ejecutan un conjunto idéntico de comandos para descargar cargas útiles adicionales como «Srvany.exe» y «Services.exe» en dos anfitriones y ejecutar comandos de reconocimiento en el tercer.
Se recomienda a los usuarios del servidor Samsung MagicInfo 9 para aplicar las últimas correcciones lo antes posible para salvaguardar contra posibles amenazas.
«Hemos verificado que MagicInfo 9 21.1052.0 mitiga el problema original planteado en CVE-2025-4632», dijo Jamie Levy, director de adversary Tactics en Huntress, The Hacker News.
«Cualquier máquina que tenga versiones V8 – V9 21.1050.0 seguirá afectada por esta vulnerabilidad. También hemos descubierto que actualizar de MagicInfo V8 a V9 21.1052.0 no es tan sencillo ya que primero debe actualizar a 21.1050.0 antes de aplicar el parche final».