CVE-2024-7399 : Samsung MagicINFO 9 ajoutée au KEV CISA

Le 24 avril 2026, la CISA a ajouté quatre vulnérabilités à son catalogue Known Exploited Vulnerabilities, parmi lesquelles CVE-2024-7399 affectant Samsung MagicINFO 9 Server. Cette faille de type path traversal, identifiée comme CWE-22 et notée CVSS 8.8, permet à un attaquant non authentifié d'écrire des fichiers arbitraires sur le serveur avec les privilèges SYSTEM. Le service écoute par défaut sur les ports TCP 7001 (HTTP) et 7002 (HTTPS). Bien que Samsung ait publié un correctif dès août 2024 dans la version 21.1050, l'exploitation in-the-wild a explosé après la publication d'un proof-of-concept en mai 2025. Arctic Wolf et plusieurs équipes de réponse à incident observent depuis des campagnes massives, notamment l'enrôlement de serveurs MagicINFO compromis dans des botnets Mirai utilisés pour des attaques par déni de service distribué. La directive opérationnelle BOD 22-01 contraint désormais les agences fédérales américaines à corriger sous quatorze jours, fixant l'échéance au 15 mai 2026.

Les faits

La vulnérabilité réside dans le servlet /MagicInfo/servlet/SWUpdateFileUploader. Selon l'advisory officiel Samsung Electronics SVE-2024-1099, ce composant ne vérifie ni l'authentification de l'utilisateur ni l'extension du fichier transmis dans le paramètre de nom. Un attaquant peut donc téléverser un script JSP malveillant en exploitant la traversée de répertoire (../../) pour le déposer dans un emplacement où le moteur Tomcat embarqué l'interprétera. L'exécution se fait sous le contexte NT AUTHORITY\SYSTEM, accordant un contrôle total de la machine hôte.

L'éditeur a publié le correctif dès août 2024, mais l'écart d'application a duré près de neuf mois. SSD Secure Disclosure et Arctic Wolf ont rendu publics les détails techniques début mai 2025, déclenchant une vague d'exploitation visible dans les télémétries des fournisseurs de sécurité. Le 24 avril 2026, l'ajout au KEV CISA reconnaît officiellement le caractère persistant et systémique des compromissions observées sur les serveurs Samsung MagicINFO restés non patchés. Le module d'exploitation Metasploit publié par Rapid7 confirme la trivialité de l'attaque, qui ne requiert aucun prérequis technique sophistiqué.

Impact et exposition

Samsung MagicINFO est une plateforme de gestion d'affichage dynamique déployée massivement dans la signalétique numérique : aéroports, gares, enseignes commerciales, halls d'immeubles, écrans corporate. Chaque serveur compromis devient un pivot pour atteindre le réseau interne de l'organisation hébergeuse, ou un nœud de botnet Mirai disponible à la location. Les chercheurs de Beyond Machines confirment que les variants Mirai compilés pour x86 ciblent prioritairement ces serveurs Windows en raison de leur exposition réseau fréquente et de leur faible supervision.

L'exploitation requiert uniquement la capacité d'envoyer une requête HTTP au port 7001 ou 7002. Aucune authentification, aucune interaction utilisateur. Cette simplicité explique le volume d'attaques recensées : les opérateurs de botnets scannent en continu Internet à la recherche de bannières MagicINFO. Pour les organisations exposant le service derrière un proxy ou un reverse VPN sans isolation stricte, le risque reste majeur. Les campagnes observées par Arctic Wolf incluent désormais le dépôt de mineurs de cryptomonnaies en parallèle des charges Mirai, multipliant l'impact opérationnel.

Recommandations immédiates

• Mettre à jour Samsung MagicINFO 9 Server vers la version 21.1050 ou supérieure — advisory officiel Samsung Electronics SVE-2024-1099
• Si le patch ne peut être appliqué immédiatement, isoler le serveur derrière un VPN d'administration et bloquer les ports 7001/7002 sur le périmètre internet
• Auditer les fichiers présents dans le répertoire de déploiement Tomcat pour détecter des JSP suspects (extensions .jsp, dates de création récentes, propriétaires inattendus)
• Surveiller les processus enfants de l'instance Java (cmd.exe, powershell.exe) — indicateur classique de webshell en cours d'exécution
• Vérifier les connexions sortantes vers des C2 Mirai connus et inspecter le trafic UDP volumineux inhabituel sortant du serveur

Détection et durcissement

Au-delà du patch, durcir la posture de la plateforme passe par plusieurs contrôles complémentaires. D'abord, désactiver l'écoute publique de l'interface d'administration : MagicINFO ne devrait jamais être accessible directement depuis Internet. Ensuite, journaliser systématiquement les requêtes vers /MagicInfo/servlet/* et déclencher une alerte sur tout POST contenant la séquence ../ ou ..\\. Les règles Suricata publiées par la communauté, notamment celles maintenues par les équipes de Rapid7 au sein du module Metasploit, fournissent des signatures fiables pour détecter les tentatives d'exploitation en temps réel.

Les organisations utilisant un EDR moderne peuvent activer des règles comportementales sur le processus Tomcat embarqué : toute création de fichier .jsp en dehors des chemins de déploiement légitimes constitue un signal fort. Combiner cette détection à une supervision réseau repérant les bannières HTTP MagicINFO non conformes à la version corrigée ferme la boucle de défense. Le contexte d'exploitation par Mirai impose également de surveiller les connexions sortantes : un serveur enrôlé tentera de joindre rapidement un canal de commande IRC ou HTTP non documenté, signal exploitable pour une réponse à incident rapide.

Pour comprendre les enjeux liés aux ajouts récents au KEV CISA, consultez notre analyse de la CVE-2023-27351 PaperCut NG bypass auth ajoutée au KEV, exemple type de vulnérabilité réactivée par exploitation tardive. Le mode opératoire de réutilisation par botnets rappelle l'accès SSH non autorisé Ubiquiti UniFi Play où la simplicité d'exploitation a généré des compromissions de masse. Pour les architectures exposant un proxy applicatif vulnérable, voir le bypass auth OAuth2 Proxy. Enfin, l'urgence des correctifs périphériques fait écho à la RCE non authentifiée FortiSandbox.