Samsungのデジタルサイネージ管理システム「MagicINFO 9 Server」に存在する認証不要のリモートコード実行(CVE-2024-7399)脆弱性が、実際のサイバー攻撃で悪用されていることが報告された。Arctic Wolfは、2025年4月末に公開された概念実証(PoC)の直後から攻撃の増加を確認しており、Miraiボットネットの新種もこの脆弱性を標的にしているとされる。

問題の原因は、コンテンツ更新用のファイルアップロード機能の制限不備で、攻撃者はJSPウェブシェルを悪用して認証なしで任意コードを実行できる状態となる。パッチは既にバージョン21.1050で提供済みだが、脆弱な環境は依然多く残されていると見られ、被害拡大防止のため迅速なアップデートが求められる。

MagicINFO 9 ServerのRCE脆弱性が悪用される背景と攻撃の実態

SamsungのMagicINFO 9 Serverは、デジタルサイネージを遠隔で制御できるCMSとして、世界中の商業施設や公共インフラで利用されている。今回注目されたCVE-2024-7399脆弱性は、認証不要でリモートから任意コードを実行可能にする深刻な欠陥である。攻撃者はファイルアップロード機能の不備を突き、JSPウェブシェルを設置。これにより、システム権限でOSコマンドを実行できる状態を作り出している。

2024年8月の公表後も放置されてきた影響で、2025年4月に公開されたPoCをきっかけに攻撃が加速しており、Arctic Wolfは実害の発生を確認済みだ。さらに、Johannes Ullrichが報告したようにMiraiボットネットの派生型もこの脆弱性を悪用しており、攻撃の範囲は広がり続けている。これまでの経緯を見る限り、修正パッチ(バージョン21.1050以降)未適用の環境が標的にされるリスクは極めて高い。

想定外のリスクと今後の脅威シナリオ

MagicINFO 9 Serverのような表示システムは、表面上はクリティカルなインフラには見えにくいが、遠隔から制御される性質上、侵害されれば情報改ざんやマルウェアの拡散が現実的な脅威となる。今回のRCE脆弱性は、その影響が単なる表示データの書き換えにとどまらず、ネットワーク全体への横展開も懸念される。Miraiボットの派生型が既に確認されている点からも、IoT機器全般が新たな標的になる可能性は排除できない。

さらに、JSPウェブシェルを使った攻撃は単純な手口で再現性が高いため、今後模倣犯が増加することも考えられる。こうしたリスクを踏まえると、デジタルサイネージの保守管理は、これまで以上にセキュリティ対応を重視せざるを得なくなりそうだ。

セキュリティ対策の要点と管理者が取るべき行動

SamsungはすでにCVE-2024-7399脆弱性に対してバージョン21.1050で修正を提供済みであり、管理者は即座にアップデートを適用することが求められる。特に認証不要の脆弱性は、外部公開サーバーにとって深刻なリスク要因であるため、バージョン確認とアクセスログの見直しは最優先事項となる。

Arctic Wolfも指摘しているように、PoCが公開された脆弱性は標的となりやすく、既に現実の攻撃が発生しているため、過去のアクセス履歴に不審なPOSTリクエストが存在しないか精査することも有効である。今後は、単なるアップデートだけでなく、ファイルアップロード機能の制限や不要なポートの遮断など、多層的な防御策が不可欠になると考えられる。

Source:BleepingComputer