As vulnerabilidades afetam SimpleHelp, Samsung MagicINFO 9 Server e roteadores D-Link DIR-823X, com exploração ativa associada a escalonamento de privilégio, escrita de arquivos, execução de código e injeção de comandos.
| Componente | SimpleHelp, Samsung MagicINFO 9 Server e roteadores D-Link DIR-823X em fim de vida. |
| Vetor | Abuso de autorização insuficiente, traversal de caminho via arquivo zip criado, escrita arbitrária de arquivos e requisição POST para /goform/set_prohibiting por atacante autorizado. |
| Impacto | Escalonamento para função de administrador do servidor, execução de código no contexto do usuário do servidor SimpleHelp, escrita de arquivos com autoridade de sistema e execução remota de comandos nos dispositivos D-Link. |
| Prioridade | Aplicar correções disponíveis ou descontinuar o uso do equipamento afetado por CVE-2025-29635; agências federais civis dos EUA receberam prazo até 8 de maio de 2026. |
| Versões e produtos | As falhas citadas impactam SimpleHelp, Samsung MagicINFO 9 Server e a série de roteadores D-Link DIR-823X. |
| Artefatos | CVE-2024-57726, CVE-2024-57728, CVE-2024-7399, CVE-2025-29635, /goform/set_prohibiting e variante Mirai chamada tuxnokill. |
Quatro vulnerabilidades exploradas ativamente foram adicionadas ao catálogo de vulnerabilidades exploradas conhecidas da CISA em 25 de abril de 2026. O conjunto envolve dois problemas no SimpleHelp, uma falha no Samsung MagicINFO 9 Server e uma injeção de comandos em roteadores D-Link DIR-823X em fim de vida. A inclusão no catálogo KEV indica evidência de exploração real, não apenas disponibilidade teórica de prova de conceito. A consequência operacional é direta: ambientes que mantêm esses produtos expostos ou acessíveis a contas com permissões compatíveis com os vetores descritos precisam tratar a atualização, a remoção do ativo ou a validação compensatória como atividade de resposta a risco ativo.
No SimpleHelp, CVE-2024-57726 é uma falha de autorização ausente com pontuação CVSS 9.9. A condição descrita permite que técnicos de baixo privilégio criem chaves de API com permissões excessivas e usem essas chaves para elevar privilégios até a função de administrador do servidor. CVE-2024-57728, também no SimpleHelp, é um traversal de caminho com pontuação CVSS 7.2 que depende de usuário administrador enviando um arquivo zip criado para abusar de comportamento do tipo zip slip. A exploração pode gravar arquivos arbitrários em qualquer local do sistema de arquivos e levar à execução de código no host no contexto do usuário do servidor SimpleHelp.
Os outros dois casos ampliam a superfície para infraestrutura de sinalização digital e roteadores. CVE-2024-7399, no Samsung MagicINFO 9 Server, tem pontuação CVSS 8.8 e permite traversal de caminho com escrita de arquivos arbitrários como autoridade de sistema. A atividade maliciosa ligada a essa falha já foi associada à implantação da botnet Mirai. CVE-2025-29635, nos roteadores D-Link DIR-823X, tem pontuação CVSS 7.5 e permite que um atacante autorizado execute comandos arbitrários em dispositivos remotos ao enviar uma requisição POST para /goform/set_prohibiting por meio da função correspondente. Tentativas observadas contra dispositivos D-Link buscaram entregar uma variante Mirai chamada tuxnokill.
O fluxo de CVE-2024-57726 começa em uma quebra de fronteira entre o privilégio de técnico e o privilégio de administração do servidor SimpleHelp. O ponto crítico não é apenas a existência de uma chave de API, mas a possibilidade de uma conta menos privilegiada criar credenciais programáticas com permissões superiores às que deveria possuir. Em uma cadeia de ataque, isso muda a discussão de exploração remota genérica para abuso de identidade e autorização: o atacante precisa operar a partir de uma posição que consiga acionar a criação da chave, e a chave passa a ser o meio de escalonamento. Para defesa, logs de criação de chaves, alterações de papéis e uso subsequente da API importam tanto quanto indicadores tradicionais de exploração.
Em CVE-2024-57728, a pré-condição citada é diferente: a exploração exige usuário administrador e envio de um arquivo zip criado. O problema decorre de traversal de caminho durante extração, permitindo que entradas no arquivo comprimido escapem do diretório esperado. Quando esse tipo de escrita alcança locais sensíveis, o efeito pode deixar de ser apenas gravação indevida e se transformar em execução de código no host, limitada ao contexto do usuário do servidor SimpleHelp. Esse detalhe define o limite técnico do impacto: a notícia sustenta execução no contexto do processo ou usuário do SimpleHelp, não necessariamente privilégio de núcleo, domínio ou administração do sistema operacional fora das condições do ambiente.
No Samsung MagicINFO 9 Server, CVE-2024-7399 também usa traversal de caminho, mas o impacto descrito é escrita de arquivos arbitrários como autoridade de sistema. Essa combinação é crítica porque altera a integridade do host com privilégio elevado. Em ambientes de sinalização digital, servidores desse tipo podem ficar conectados a redes operacionais, telas, players e consoles de administração. A atividade anterior associada a Mirai indica interesse em transformar a falha em capacidade de implantação de botnet, o que normalmente prioriza execução automatizada, persistência simples quando disponível e incorporação do dispositivo ou servidor a tráfego de comando e controle.
A falha CVE-2025-29635 nos D-Link DIR-823X é uma injeção de comandos acionada por atacante autorizado. O vetor informado é uma requisição POST ao caminho /goform/set_prohibiting, passando pela função correspondente do equipamento. A exigência de autorização não torna o risco irrelevante: credenciais fracas, reaproveitadas, expostas por administração remota ou já obtidas em outra etapa podem fornecer a condição necessária. Como o produto está em fim de vida e a mitigação indicada inclui descontinuação do uso do appliance, a resposta defensiva deve considerar substituição física ou remoção da superfície, não apenas ajuste temporário de configuração.
A superfície principal envolve servidores de suporte remoto, plataformas de gerenciamento de conteúdo para sinalização digital e roteadores de borda ou acesso. O SimpleHelp concentra risco em torno de contas técnicas, criação de chaves de API, upload de arquivos e permissões administrativas. O MagicINFO 9 Server concentra risco em escrita arbitrária de arquivos com autoridade elevada. Os D-Link DIR-823X concentram risco em administração autenticada e execução de comandos por endpoint HTTP específico. Em todos os casos, a presença no KEV muda a priorização porque indica exploração ativa em ambiente real.
A exposição deve ser avaliada por inventário e por caminho de acesso. Um servidor SimpleHelp acessível externamente, com múltiplos técnicos e integrações de API, tem risco operacional diferente de uma instalação isolada e sem contas de baixo privilégio. Um MagicINFO 9 Server alcançável por redes não confiáveis ou por segmentos amplos aumenta a chance de escrita maliciosa. Um DIR-823X em fim de vida, especialmente quando administrável remotamente, deve ser tratado como ativo sem ciclo confiável de correção. Para as agências federais civis dos EUA, o prazo informado foi 8 de maio de 2026 para aplicar correções ou descontinuar o uso no caso de CVE-2025-29635.
- Instâncias de SimpleHelp com técnicos de baixo privilégio capazes de interagir com criação de chaves de API ou funções administrativas relacionadas.
- Servidores SimpleHelp em que administradores possam enviar arquivos zip e em que a extração permita escrita fora do diretório pretendido.
- Instalações de Samsung MagicINFO 9 Server nas quais a escrita arbitrária de arquivos possa ocorrer com autoridade de sistema.
- Roteadores D-Link DIR-823X em fim de vida, principalmente quando a interface afetada puder receber requisições autenticadas ao caminho
/goform/set_prohibiting.
A caça deve começar por eventos de controle de identidade, alterações administrativas e criação de artefatos persistentes. Em SimpleHelp, a investigação deve correlacionar criação de chaves de API com usuário originador, endereço de origem, horário, permissões atribuídas e chamadas subsequentes feitas pela própria chave. Uma sequência suspeita inclui técnico de baixo privilégio criando credencial de API, uso imediato dessa credencial em ações administrativas e alteração de configuração do servidor sem janela de mudança registrada. Para CVE-2024-57728, o foco passa para uploads de zip, erros de extração, nomes de entrada com padrões de traversal e arquivos criados fora de diretórios esperados.
No MagicINFO 9 Server, a telemetria defensiva deve procurar criação ou alteração de arquivos em locais executáveis, diretórios de serviço e caminhos sensíveis com contexto de autoridade de sistema. Como CVE-2024-7399 foi ligada a atividade de Mirai, também é útil inspecionar processos inesperados, conexões de saída anômalas e binários recém-criados após eventos de upload ou requisições incomuns. A investigação deve evitar concluir comprometimento por botnet apenas pela presença do produto vulnerável; a relação sustentada é exploração associada à implantação de Mirai em atividade anterior.
Nos roteadores D-Link DIR-823X, a visibilidade costuma ser limitada, então o hunting precisa combinar logs do equipamento, telemetria de borda e dados de rede. O evento técnico mais específico é acesso autenticado com requisição POST para /goform/set_prohibiting. Depois disso, a equipe deve procurar reinicializações não planejadas, alterações de configuração, conexões de saída incomuns e tráfego compatível com comportamento de botnet. A variante tuxnokill aparece no contexto como carga observada em tentativas contra dispositivos D-Link, portanto o nome deve ser usado como pivô de inteligência apenas quando houver artefato local que sustente essa associação.
- Criação de chaves de API no SimpleHelp por contas que não deveriam receber permissões administrativas.
- Uploads de arquivos zip no SimpleHelp seguidos de criação de arquivos fora do diretório esperado ou execução no contexto do usuário do servidor.
- Eventos de escrita arbitrária ou alteração de arquivos sensíveis no Samsung MagicINFO 9 Server com autoridade de sistema.
- Requisições
POSTautenticadas para/goform/set_prohibitingem roteadores D-Link DIR-823X. - Processos, binários ou conexões de saída compatíveis com implantação de Mirai ou da variante
tuxnokill, quando acompanhados de evidência no host ou no tráfego.
A mitigação deve seguir a diferença entre produtos corrigíveis e produto em fim de vida. Para SimpleHelp e Samsung MagicINFO 9 Server, a ação central é aplicar as correções disponibilizadas pelos fornecedores e validar que as instâncias efetivamente executam versões corrigidas. Em paralelo, é necessário revisar contas, chaves de API, permissões administrativas, uploads recentes e arquivos criados em caminhos sensíveis, porque a exploração ativa significa que a atualização sozinha não prova ausência de intrusão anterior. Em SimpleHelp, a revogação e recriação controlada de chaves de API deve ser considerada quando houver qualquer indício de criação indevida ou permissões excessivas.
Para D-Link DIR-823X afetado por CVE-2025-29635, a orientação de descontinuar o uso do appliance é relevante porque o equipamento está em fim de vida. Em vez de depender de bloqueios frágeis, a equipe deve planejar substituição, remoção da administração remota, segmentação temporária e bloqueio de acesso à interface afetada enquanto o ativo não for retirado. Quando houver suspeita de abuso, a resposta deve incluir coleta de configuração, preservação dos logs disponíveis, redefinição controlada, rotação de credenciais administrativas e verificação de que nenhum roteamento, DNS ou regra de acesso foi alterado sem autorização.
A validação pós-mitigação precisa ser mensurável. Inventários devem listar explicitamente SimpleHelp, MagicINFO 9 Server e DIR-823X, com proprietário, exposição, estado de correção e decisão de continuidade. Controles de borda devem restringir interfaces administrativas a redes de gestão. Alertas devem ser ajustados para os artefatos concretos disponíveis: criação de chaves de API, upload de zip, escrita inesperada de arquivos, requisições ao endpoint D-Link e comunicação associada a botnet quando houver telemetria suficiente. O prazo de 8 de maio de 2026 definido para agências federais civis dos EUA deve ser tratado como referência de urgência para organizações que mantêm os mesmos ativos.
- Aplicar correções para SimpleHelp e Samsung MagicINFO 9 Server e confirmar a versão instalada após a janela de mudança.
- Revogar chaves de API suspeitas no SimpleHelp, reduzir permissões excessivas e auditar ações administrativas recentes.
- Inspecionar uploads zip e arquivos criados fora de caminhos esperados em servidores SimpleHelp.
- Revisar alterações de arquivos e processos no Samsung MagicINFO 9 Server após qualquer evidência de tentativa de exploração.
- Descontinuar roteadores D-Link DIR-823X afetados por
CVE-2025-29635ou isolar o ativo até a substituição. - Bloquear administração remota desnecessária e restringir acesso a
/goform/set_prohibitinga redes de gestão confiáveis enquanto o dispositivo ainda existir no ambiente.
0 Comentários