ហេគឃ័រកំពុងកេងចំណេញលើភាពងាយរងគ្រោះប្រតិបត្តិកូដពីចម្ងាយដោយគ្មានការអនុញ្ញាត (RCE) នៅក្នុងម៉ាស៊ីនមេ Samsung MagicINFO 9 ដើម្បីលួចយកឧបករណ៍ និងដាក់ពង្រាយមេរោគ។Samsung MagicINFO Server គឺជាប្រព័ន្ធគ្រប់គ្រង Centralized Content System (CMS) ប្រើសម្រាប់គ្រប់គ្រងពីចម្ងាយ និងត្រួតពិនិត្យលើការបង្ហាញសញ្ញាឌីជីថលដែលបង្កើតឡើងដោយ Samsung។ វាត្រូវបានប្រើដោយហាងលក់រាយ ព្រលានយន្តហោះ មន្ទីរពេទ្យ អគារសហគ្រាស និងភោជនីយដ្ឋាន ដែលមានតម្រូវការសម្រាប់ការណាត់ពេល ចែកចាយ បង្ហាញ និងត្រួតពិនិត្យលើមាតិកាប្រព័ន្ធផ្សព្វផ្សាយចម្រុះ។ សមាសធាតុម៉ាស៊ីនមេមានមុខងារ File Upload ដែលមានបំណងសម្រាប់ធ្វើបច្ចុប្បន្នភាព Display Content ប៉ុន្តែហេគឃ័រកំពុងតែកេងចំណេញលើវា ដើម្បី Upload កូដព្យាបាទ។
បញ្ហា CVE-2024-7399 ត្រូវបានចេញផ្សាយជាសាធារណៈកាលពីខែសីហា ឆ្នាំ២០២៤ នៅពេលវាត្រូវបានជួសជុលជាផ្នែកមួយនៃការបញ្ចេញជំនាន់ 21.1050។ អ្នកផ្គត់ផ្គង់បានពណ៌នាពីភាពងាយរងគ្រោះថា ជាការកំណត់មិនត្រឹមត្រូវនៃឈ្មោះផ្លូវ (Pathname) ទៅកាន់ភាពងាយរងគ្រោះនៃ Directory ដែលបានរឹតបន្តឹង នៅក្នុង Samsung MagicINFO 9 Server ដែលអនុញ្ញាតឱ្យហេគឃ័រសរសេរ File បំពានជាសិទ្ធិប្រព័ន្ធ (system Authority)។ កាលពីចុងខែមេសា ឆ្នាំ២០២៥ អ្នកស្រាវជ្រាវសន្តិសុខ SSD-Disclosure បានចេញផ្សាយលម្អិតជាមួយនឹងការកេងចំណេញ Proof-of-concept (PoC) ដែលទទួល RCE នៅលើម៉ាសុីនមេដោយគ្មានការអនុញ្ញាត ដែលប្រើ JSP Web Shell។
អ្នកវាយប្រហារ Uploads ឯកសារ .jsp file ព្យាបាទតាមរយៈសំណើ POST គ្មានការអនុញ្ញាត ដែលកេងចំណេញលើ Path Traversal ដើម្បីដាក់វានៅក្នុងទីតាំង Web-accessible។ ដោយការចូល Upload File ជាមួយនឹង CMD parameter ពួកគេអាចប្រតិបត្តិពាក្យបញ្ជាតាមចិត្ត (OS Command) និងឃើញលទ្ធផល (output) នៅក្នុង Browser។
Arctic Wolf ឥឡូវរាយការណ៍ថា បញ្ហា CVE-2024-7399 ត្រូវបានកេងចំណេញយ៉ាងសកម្មនៅក្នុងការវាយប្រហារកាលពីពីរបីថ្ងៃមុខ បន្ទាប់ពី PoC’s Release ដែលបង្ហាញថា ហេគឃ័របានចាប់យកវិធីសាស្រ្តការវាយប្រហារដែលបានបង្ហាញនៅក្នុងប្រតិបត្តិការពិត។ Arctic Wolf បានព្រមានថា ដោយសារឧបសគ្គតិចតួចចំពោះការកេងចំណេញ និងលទ្ធភាពទទួលបាន PoC សាធារណៈ ហេគឃ័រទំនងជាបន្តកំណត់គោលដៅលើភាពងាយរងគ្រោះនេះ។ ការបញ្ជាក់ការកេងចំណេញដ៏សកម្មមួយផ្សេងទៀតមកជាមួយអ្នកវិភាគការគំរាមកំហែង Johannes Ullrich ដែលបានរាយការណ៍ពីការមើលឃើញអញ្ញត្តិមេរោគ Mirai Botnet ដែលជំរុញបញ្ហា CVE-2024-7399 ឱ្យគ្រប់គ្រងលើឧបករណ៍។ ដោយសារស្ថានភាពនៃការកេងចំណេញយ៉ាងសកម្មលើបញ្ហានេះ វាត្រូវបានណែនាំឱ្យអ្នកគ្រប់គ្រងប្រព័ន្ធចាត់វិធានការជាបន្ទាប់ ដើម្បី Patch CVE-2024-7399 ដោយការ Upgrade Samsung MagicINFO Server ទៅជំនាន់ 21.1050 ឬជំនាន់ក្រោយ។
ប្រភពព័ត៌មាន៖ ថ្ងៃទី០៦ ខែឧសភា ឆ្នាំ២០២៥
