ImunifyAV, scannerul antimalware utilizat de milioane de site-uri, prezintă o vulnerabilitate ce permite executarea de cod la distanță și pune în pericol mediile de hosting.
Acest tip de problemă nu e necunoscut în istoria securității: librării sau componente larg folosite au creat probleme când logica internă a permis rularea de cod nevalidat. În prezent, componenta AI-bolit din ImunifyAV, folosită pentru deobfuscare și analiză, a fost identificată cu un bug care afectează versiunile anterioare lui 32.7.4.0. AI-bolit apare atât în suita Imunify360, cât și în versiunea comercială ImunifyAV+ și în ImunifyAV (varianta gratuită), astfel încât impactul potențial include instalări comerciale și gratuite.
Cercetătorii de la Patchstack spun că problema e cunoscută din octombrie, când CloudLinux, compania din spatele ImunifyAV, a publicat deja corecții. Totuși, până la redactarea acestui material, defectul nu a primit un identificator public CVE. Pe 10 noiembrie vendorul a aplicat corecția și pe versiunile mai vechi de Imunify360 AV, iar în ultimul an CloudLinux a emis o alertă privind o vulnerabilitate critică, recomandând actualizarea rapidă la versiunea 32.7.4.0.
ImunifyAV se instalează de obicei la nivelul platformei de hosting, nu direct de către utilizatorii finali. Asta îl face omniprezent în medii de hosting partajat, pe servere cPanel/WHM, Plesk și în soluții managed WordPress. Datele Imunify din octombrie 2024 arată că instrumentul rulează în spatele a aproximativ 56 de milioane de site-uri și în peste 645.000 de instalări Imunify360, deci riscul afectează un număr mare de servere și site-uri.
Cauza tehnică a vulnerabilității constă în modul în care AI-bolit încearcă să deobfuscheze fișiere PHP suspecte. În timpul deobfuscării, componenta extrage nume de funcții și date din fișierele obfuscate și le apelează folosind call_user_func_array fără a valida prealabil numele. Astfel, un atacator poate provoca execuția unor funcții PHP periculoase precum system, exec, shell_exec, passthru sau eval. Practic, logica de „despachetare” a codului malițios ajunge să ruleze ceea ce găsește, iar asta e riscant când intră date controlate de atacatori.
Patchstack avertizează că pentru a exploata vulnerabilitatea este nevoie ca AI-bolit să efectueze deobfuscarea activă în timpul analizei. În modul CLI standalone această funcție e dezactivată implicit, însă integrarea în Imunify360 forțează starea „always on” pentru scanări de background, scanări la cerere, scanări inițiate de utilizator și scanări rapide, creând astfel condițiile de exploatare. Cercetătorii au publicat și un proof of concept: un fișier PHP plasat în directorul tmp care, la scanare, declanșează execuția de cod la distanță.
Consecințele pot fi serioase: compromiterea completă a unui site și, în scenarii în care scannerul rulează cu privilegii sporite pe găzduiri partajate, preluarea controlului asupra întregului server. Corecția oferită de CloudLinux introduce un mecanism de whitelist care permite doar funcții determinate și sigure în timpul deobfuscării, blocând execuția arbitrară de funcții.
Deși vendorul a publicat patchuri și a recomandat actualizarea la v32.7.4.0, absența unui CVE și a unor avertizări clare care să ajute la monitorizarea incidentelor complică urmărirea răspândirii problemei. În prezent nu există instrucțiuni oficiale pentru verificarea compromisului, nu există ghiduri de detecție și nu a fost confirmată exploatarea activă în mediul real. BleepingComputer a cerut un punct de vedere CloudLinux, dar nu primise răspuns până la publicare.
Administratorii de servere și furnizorii de hosting trebuie să actualizeze ImunifyAV/Imunify360 la versiunea 32.7.4.0 sau mai nouă cât mai rapid posibil, pentru a aplica mecanismul de whitelist și a elimina riscul execuției de funcții periculoase în timpul deobfuscării.
Patch-ul legat de AI-bolit și modul în care Imunify360 gestionează deobfuscarea scoate în evidență două aspecte importante: cât de periculos poate fi rularea automată a unui cod necunoscut chiar și în scopul detecției și rolul politicilor de securitate la nivel de platformă, unde configurațiile implicite pot transforma un instrument de protecție într-o poartă de acces pentru atacatori. Exemplul include date concrete: versiunea afectată (pre-32.7.4.0), data backportului (10 noiembrie) și numărul de instalări raportat de Imunify (56 de milioane de site-uri, 645.000 de instalări Imunify360). Atenția la configurațiile implicite și la validarea intrărilor rămâne esențială pentru administratorii care gestionează servere partajate sau medii cu privilegii înalte.
Serverul tău folosește ImunifyAV sau ai discutat cu furnizorul de hosting despre actualizarea la v32.7.4.0?
Fii primul care comentează