В Банке данных угроз (BDU) безопасности информации зарегистрированы две критические уязвимости в системе централизованного управления цифровыми вывесками и мультимедийным контентом Samsung MagicINFO 9. Эксперты присвоили обеим уязвимостям максимальный уровень опасности. Соответственно, эксплуатация этих недостатков позволяет злоумышленнику удаленно получить полный контроль над системой, включая чтение, изменение и удаление данных. Производитель подтвердил проблемы и выпустил обновления, устраняющие риски.
Детали уязвимости
Первая уязвимость, идентифицированная как BDU:2026-01068 и CVE-2026-25202, связана с использованием жестко закодированных учетных данных. Другими словами, в коде программного обеспечения были обнаружены статические логин и пароль, встроенные непосредственно в приложение. Этот тип ошибки, классифицируемый как CWE-798, представляет собой грубую архитектурную уязвимость. Как следствие, любой удаленный злоумышленник, обнаруживший эти данные, может обойти процедуру аутентификации. После этого он получает неавторизованный доступ к системе с правами, позволяющими манипулировать контентом на всех управляемых устройствах, таких как рекламные экраны или информационные панели.
Вторая уязвимость, зарегистрированная под идентификаторами BDU:2026-01069 и CVE-2026-25200, обусловлена неограниченной загрузкой файлов опасного типа (CWE-434). Данная проблема позволяет загружать на сервер произвольные файлы, включая вредоносные сценарии. В результате злоумышленник может провести хранимую межсайтовую сценарную атаку (Stored XSS). Более того, успешная эксплуатация этой уязвимости открывает путь для выполнения произвольного кода на сервере. Таким образом, атакующий может получить полный контроль над устройством, обеспечив себе постоянное присутствие (persistence) в системе для последующих вредоносных действий.
Обе уязвимости затрагивают версии MagicINFO 9 до 21.1090.1. Система MagicINFO широко используется в корпоративном и публичном секторах для управления сетями дисплеев. Поэтому потенциальный масштаб компрометации может быть значительным. Оценка по методологии CVSS подчеркивает критичность ситуаций. Базовая оценка CVSS 3.1 для обеих уязвимостей составляет 9.8 балла из 10. Ключевые векторы атаки (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H) указывают на то, что эксплуатация возможна из любой сети, не требует специальных условий или привилегий и приводит к полной компрометации конфиденциальности, целостности и доступности системы.
В настоящее время наличие публичных эксплойтов уточняется. Однако критический уровень угрозы и относительная простота эксплуатации, особенно в случае с жестко закодированными учетными данными, требуют немедленных действий. Производитель, компания Samsung Electronics, официально подтвердил наличие уязвимостей и отметил, что они уже устранены. Соответственно, единственным надежным способом защиты является срочное обновление программного обеспечения до версии, исправляющей эти проблемы.
Администраторам систем, использующих MagicINFO 9, настоятельно рекомендуется незамедлительно обратиться к официальному ресурсу Samsung по безопасности. Там необходимо проверить и применить все доступные обновления. Дополнительно, в качестве общей рекомендации, следует проводить аудит систем на предмет наличия нестандартных учетных записей и подозрительных файлов, которые могли быть загружены до установки патча. Регулярное обновление программного обеспечения остается фундаментальной практикой кибергигиены для предотвращения эксплуатации известных уязвимостей.
Обнаружение этих критических уязвимостей в популярном корпоративном решении лишний раз подчеркивает важность безопасной разработки (Secure SDLC). В частности, необходимо избегать жесткого кодирования секретов и тщательно валидировать все загружаемые файлы. Инцидент также демонстрирует эффективность публичных баз данных уязвимостей, таких как BDU и CVE, которые позволяют скоординированно информировать сообщество о новых угрозах и способах их нейтрализации.
Ссылки
- https://bdu.fstec.ru/vul/2026-01068
- https://bdu.fstec.ru/vul/2026-01069
- https://www.cve.org/CVERecord?id=CVE-2026-25200
- https://www.cve.org/CVERecord?id=CVE-2026-25202
- https://security.samsungtv.com/securityUpdates
- https://www.thehackerwire.com/magicinfo-9-server-hardcoded-db-creds-expose-data/
- https://www.thehackerwire.com/magicinfo-9-server-stored-xss-leads-to-account-takeover/
