A Samsung lançou uma atualização crítica para o MagicINFO 9 Server após a descoberta de uma grave vulnerabilidade de segurança classificada como CVE-2025-4632, com pontuação CVSS de 9,8. Essa falha permitia que atacantes remotos executassem escrita de arquivos arbitrários com privilégios de sistema, comprometendo completamente os servidores afetados.
Samsung corrige vulnerabilidade no MagicINFO 9 explorada para implantar botnet Mirai
Entenda a falha CVE-2025-4632
Identificada como uma falha de travessia de diretório, essa vulnerabilidade decorre da limitação incorreta de caminhos restritos, possibilitando que invasores contornem proteções e escrevam arquivos maliciosos em diretórios sensíveis.
De acordo com um alerta oficial, o problema afeta versões anteriores à 21.1052.0 do MagicINFO 9 Server. A falha, inclusive, foi usada para implantar a botnet Mirai, uma das ameaças mais conhecidas na exploração de dispositivos conectados.
Exploração ativa e ligação com falhas anteriores
O CVE-2025-4632 representa um desvio de correção para outra falha anterior (CVE-2024-7399), corrigida pela Samsung em agosto de 2024. Após a publicação de uma prova de conceito (PoC) em 30 de abril de 2025 pela SSD Disclosure, diversos ataques começaram a surgir — o que indica exploração ativa em ambientes reais.
A empresa de cibersegurança Huntress foi a primeira a identificar indícios da nova vulnerabilidade mesmo em sistemas que utilizavam a versão supostamente corrigida (21.1050.0), revelando que a falha permanecia presente.
Detalhes dos ataques observados
Em uma investigação detalhada publicada em 9 de maio, a Huntress relatou três incidentes distintos nos quais agentes maliciosos executaram os mesmos comandos para baixar ferramentas como srvany.exe e services.exe, além de realizar ações de reconhecimento em servidores vulneráveis.
Esses padrões de ataque apontam para uma campanha organizada, provavelmente automatizada, que visa comprometer sistemas e integrá-los a redes de botnet, como a Mirai.
Atualização é essencial
Usuários do MagicINFO 9 Server devem atualizar imediatamente para a versão 21.1052.0, que foi confirmada como eficaz contra a falha CVE-2025-4632. No entanto, a migração para essa versão não é direta: quem ainda utiliza a versão 8 precisa primeiro atualizar para a 21.1050.0, antes de aplicar o patch final.
Segundo Jamie Levy, diretor de táticas adversárias da Huntress, “verificamos que o MagicINFO 9 21.1052.0 corrige efetivamente o problema”. Dispositivos que ainda operam entre as versões v8 e v9 21.1050.0 continuam vulneráveis.
Recomendações finais
Empresas que utilizam o MagicINFO 9 devem revisar seus ambientes e aplicar as correções sem demora. Além disso, é essencial implementar medidas de monitoramento e detecção para identificar qualquer atividade suspeita associada à botnet Mirai ou exploração de arquivos do sistema.
