Samsung, Mirai Botnet Tarafından İstismar Edilen Kritik MagicINFO 9 Açığını (CVE-2025-4632) Giderdi

15.05.2025

Samsung, MagicINFO 9 Sunucu yazılımında tespit edilen ve gerçek saldırılarda aktif olarak kullanılan kritik bir güvenlik açığını (CVE-2025-4632) düzeltmek için bir güvenlik güncellemesi yayımladı. CVSS puanı 9.8 olan bu açıklık, saldırganların sistem düzeyinde yetkilerle rastgele dosyalar yazmasına olanak tanıyan bir "yol geçişi" (path traversal) güvenlik açığıdır.

Samsung’un güvenlik duyurusuna göre, sorun 21.1052 sürümünden önceki MagicINFO 9 Server versiyonlarında, dosya yollarının kısıtlanmasındaki eksiklikten kaynaklanıyor. Bu açık, daha önce Ağustos 2024’te yamalanan CVE-2024-7399 adlı benzer bir açığın atlatılmasıyla oluşmuştur. Açığın istismarı, SSD Disclosure tarafından 30 Nisan 2025’te yayımlanan kavram kanıtı (PoC) sonrasında hızla artış göstermiştir.

Siber güvenlik şirketi Huntress, bu açığın 21.1050 gibi en güncel sürümlerde bile istismar edildiğini tespit ederek detaylı bir inceleme başlattı. Araştırma sonucunda CVE-2025-4632'nin en az üç ayrı olayda kullanıldığı, saldırganların “srvany.exe” ve “services.exe” gibi zararlı dosyaları indirdiği ve sistem keşif komutları çalıştırdığı belirlendi. Bu saldırıların bazıları Mirai botneti ile ilişkilendirildi.

Huntress, açığın yalnızca 21.1052 sürümünde tamamen giderildiğini belirtiyor. MagicINFO v8’den başlayarak v9 21.1050 sürümüne kadar olan tüm versiyonlar savunmasız durumda. Ayrıca, v8’den 21.1052’ye doğrudan geçiş yapılamıyor; önce 21.1050’ye yükseltme yapılması gerekiyor.

Samsung MagicINFO 9 kullanıcılarının, devam eden istismarlara karşı sistemlerini korumak için en kısa sürede 21.1052 sürümüne güncelleme yapmaları şiddetle öneriliyor.