Słaby punkt w systemie globalnym
Systemy wyświetlania cyfrowego w sklepach, na lotniskach, w szpitalach czy biurowcach przez lata uchodziły za stabilne i bezpieczne. Jednym z liderów na tym rynku jest Samsung z platformą MagicINFO – oprogramowaniem pozwalającym zdalnie zarządzać ekranami i publikowaną na nich treścią. To narzędzie wykorzystywane globalnie, wszędzie tam, gdzie liczy się precyzyjne sterowanie komunikacją wizualną. Wydawałoby się, że tak rozbudowany i szeroko stosowany system ma za sobą solidne zaplecze bezpieczeństwa. Okazuje się jednak, że nie do końca. W sierpniu 2024 roku ujawniono lukę, która dotyczy jednej z istotnych funkcji serwera MagicINFO – mechanizmu odpowiedzialnego za przesyłanie plików. Choć firma natychmiast wydała aktualizację, która miała załatać podatność, opublikowany w kwietniu 2025 roku proof-of-concept pokazał, że zagrożenie może być wykorzystane w bardzo prosty sposób, i co najgorsze – bez potrzeby logowania się do systemu. Omawiana luka, oznaczona jako CVE-2024-7399, pozwala atakującym na przesyłanie złośliwego kodu bez żadnego uwierzytelnienia. Wystarczy, że cyberprzestępca wyśle specjalnie przygotowane żądanie, które umieści niebezpieczny plik w odpowiednim katalogu. Dalej jest już z górki – odwiedzając ten plik przez przeglądarkę, haker ma możliwość wydawania poleceń bezpośrednio systemowi operacyjnemu. Taki dostęp oznacza pełną kontrolę nad urządzeniem, włącznie z możliwością wdrażania złośliwego oprogramowania.
Ataki już się rozpoczęły
Dla społeczności zajmującej się bezpieczeństwem IT nie było zaskoczeniem, że po publicznym ujawnieniu luki i sposobu jej wykorzystania, świat przestępczy błyskawicznie sięgnął po nowe narzędzie ataku. Jak informują specjaliści z Arctic Wolf, zaledwie kilka dni po publikacji kodu PoC, pojawiły się pierwsze udokumentowane ataki. Według ich oceny sytuacja jest szczególnie poważna, ponieważ metoda ataku nie wymaga zaawansowanych umiejętności ani dostępu do wnętrza systemu. Na tym nie koniec. Johannes Ullrich, analityk zagrożeń, zauważył, że luka została już zintegrowana z jednym z wariantów złośliwego oprogramowania botnetowego Mirai. Oznacza to, że cyberprzestępcy nie tylko testują nowe narzędzie, ale aktywnie je rozwijają i adaptują do automatycznych kampanii infekujących setki, jeśli nie tysiące urządzeń naraz. Dla wielu firm i instytucji może to oznaczać poważne zakłócenia w działaniu i ryzyko utraty kontroli nad systemami wyświetlającymi treści w przestrzeniach publicznych. Z punktu widzenia administratorów systemów, sytuacja wymaga natychmiastowego działania. Jedynym skutecznym zabezpieczeniem przed tą formą ataku jest zainstalowanie aktualizacji, która zamyka dostęp do krytycznego komponentu. Samsung udostępnił już poprawioną wersję serwera MagicINFO – oznaczoną jako 21.1050 – i tylko jej wdrożenie daje pewność, że infrastruktura nie stanie się kolejnym celem zautomatyzowanej infekcji.
Brak reakcji może kosztować bardzo wiele – od naruszenia wizerunku po realne straty finansowe wynikające z przestojów, konieczności czyszczenia systemów i odzyskiwania danych. Co więcej, wykorzystanie wyświetlaczy do publikacji niepożądanych treści lub szkodliwego oprogramowania może narazić firmy na konsekwencje prawne.
