Samsung ha publicado actualizaciones de software para atracar un defecto de seguridad crítico en el servidor MagicInfo 9 que ha sido explotado activamente en la naturaleza.
La vulnerabilidad, rastreada como CVE-2025-4632 (puntaje CVSS: 9.8), se ha descrito como una rotura transversal de ruta.
“La cortapisa inadecuada de un nombre de ruta a una vulnerabilidad de directorio restringido en la interpretación del servidor Samsung MagicInfo 9 ayer del 21.1052 permite a los atacantes escribir archivos arbitrarios como autoridad del sistema”, según un aviso para el defecto.
Vale la pena señalar que CVE-2025-4632 es un bypass de parche para CVE-2024-7399, otro defecto de transferencia de ruta en el mismo producto que fue parcheado por Samsung en agosto de 2024.
CVE-2025-4632 ha sido explotado en la naturaleza poco a posteriori de la escape de una prueba de concepto (POC) por la divulgación de SSD el 30 de abril de 2025, en algunos casos incluso para implementar la botnet de Mirai.
Si correctamente se suponía inicialmente que los ataques apuntaban a CVE-2024-7399, la compañía de seguridad cibernética Huntress reveló por primera vez la existencia de una vulnerabilidad sin parpadear la semana pasada a posteriori de encontrar signos de explotación incluso en instancias de servidor MagicInfo 9 que ejecutan la última interpretación (21.1050).
En un mensaje de seguimiento publicado el 9 de mayo, Huntress reveló que tres incidentes separados que involucraron la explotación de CVE-2025-4632, con actores no identificados que ejecutan un conjunto idéntico de comandos para descargar cargas enseres adicionales como “Srvany.exe” y “Services.exe” en dos anfitriones y ejecutar comandos de gratitud en el tercer.
Se recomienda a los usuarios del servidor Samsung MagicInfo 9 para aplicar las últimas correcciones lo ayer posible para preservar contra posibles amenazas.
“Hemos verificado que MagicInfo 9 21.1052.0 mitiga el problema innovador planteado en CVE-2025-4632”, dijo Jamie Levy, director de adversary Tactics en Huntress, The Hacker News.
“Cualquier máquina que tenga versiones V8 – V9 21.1050.0 seguirá afectada por esta vulnerabilidad. Además hemos descubierto que renovar de MagicInfo V8 a V9 21.1052.0 no es tan sencillo ya que primero debe renovar a 21.1050.0 ayer de aplicar el parche final”.
