سامسونج تصدر تحديثاً أمنياً لسد ثغرة حرجة في MagicINFO 9 مستغلة لنشر بوت نت Mirai

أصدرت سامسونج تحديثات طارئة لإصلاح ثغرة أمنية حرجة في نظام MagicINFO 9 Server، تم استغلالها فعلياً لنشر برمجيات خبيثة مثل بوت نت Mirai.

تفاصيل الثغرة (CVE-2025-4632)

• تصنيف الخطورة: 9.8/10 (حرجة جداً) على مقياس CVSS

• النوع: ثغرة تجاوز مسار الملفات (Path Traversal)

• التأثير: تسمح للمهاجمين بكتابة ملفات عشوائية بصلاحيات نظام كاملة

• الإصدارات المتأثرة: جميع إصدارات MagicINFO 9 Server قبل 21.1052

كيف تم اكتشاف الاستغلال؟

1. نشر PoC: ظهرت أولى أدلة الاستغلال بعد نشر إثبات مفهوم (PoC) من قِبَل SSD Disclosure في 30 أبريل 2025.

2. تحليل Huntress: كشفت الشركة الأمنية عن 3 حوادث استُغلت فيها الثغرة لتنزيل حمولات خبيثة

3. تنفيذ أوامر استطلاع على الأنظمة المخترقة.

علاقة الثغرة بالهجمات السابقة

• الثغرة الحالية (CVE-2025-4632) هي تجاوز للإصلاح الخاص بثغرة سابقة (CVE-2024-7399) التي أصلحتها سامسونج في أغسطس 2024.

• تم رصد هجمات تستغل كلا الثغرتين لنشر:

  • بوت نت Mirai (لإجراء هجمات حجب الخدمة DDoS).

  • برمجيات خبيثة أخرى لأغراض التجسس.

التوصيات الأمنية العاجلة

1. تحديث MagicINFO 9 Server إلى الإصدار 21.1052.0 فوراً.

2. ملاحظة مهمة: الترقية من الإصدار 8 تتطلب أولاً التحديث إلى 21.1050.0 قبل تطبيق الإصلاح النهائي.

3. مراقبة الأنظمة بحثاً عن أي أنشطة مشبوهة مرتبطة بالملفات

4. فحص سجلات النظام لاكتشاف محاولات استغلال ثغرات Path Traversal.

لماذا هذه الثغرة خطيرة؟

• تمنح المهاجمين تحكماً كاملاً في الخادم المستهدف.

• تم ربطها بهجمات Mirai التي تشتهر بشل البنية التحتية عبر هجمات DDoS.

• يصعب اكتشافها حيث تختلط أنشطتها مع العمليات النظامية المشروعة.