Când protecția devine slăbiciune: o eroare critică în Imunify360 AV pune în pericol servere și site-uri găzduite. Descoperirea recentă vizează furnizorii de hosting care utilizează acest scanner de securitate pentru peste 56 de milioane de site-uri și arată cum un instrument destinat dezobfusării poate, din greșeală, să permită atacatorilor preluarea controlului asupra serverelor.
Imunify360 AV este utilizat pe scară largă pentru scanarea fișierelor site-urilor (PHP, JS, HTML), dar și pentru analiza conținutului bazelor de date. Cercetătorii Patchstack au identificat o vulnerabilitate în motorul AI-Bolit, responsabil pentru dezobfuscare, precum și într-un modul separat de scanare a bazelor de date. Practic, scannerul e conceput să decodeze coduri malițioase complexe, hex escapes, payload-uri ambalate, lanțuri base64/gzinflate sau transformări personalizate, iar atacatorii pot construi payload-uri speciale astfel încât mecanismul de dezobfuscare să execute funcții furnizate de ei. Efectele pot varia de la compromiterea unui site până la preluarea completă a serverului, în funcție de modul de rulare al serviciului și de privilegiile acestuia.
Inițial, problema a fost descoperită în componenta de scanare a fișierelor, care presupune plasarea unui fișier malițios într-un loc în care Imunify360 îl va analiza. Mai alarmant este că modulul de scanare a bazelor de date s-a dovedit vulnerabil în același mod. Aici exploatarea devine mult mai simplă: pe hosting-urile shared, multe părți ale site-urilor permit scrierea în baza de date, formulare de comentarii, formulare de contact, câmpuri de profil sau jurnale de căutare. Fără autentificare, un actor rău intenționat poate insera conținut malițios în baza de date, iar scannerul, încercând să-l analizeze, îl dezobfuscă și îl execută. Astfel, un input uzual al utilizatorului se transformă într-un vector pentru execuție de cod la distanță.
Riscul este amplificat de modul în care Imunify360 este instalat în numeroase medii: serviciul rulează adesea cu privilegii ridicate, uneori chiar cu drepturi de root. Dacă wrapper-ul sau scannerul însuși rulează cu privilegii înalte, un exploit de tip RCE (remote code execution) exploatat de atacator poate permite escaladarea privilegiilor de la un site compromis la controlul întregului host. Patchstack subliniază că arhitectura internă a scannerului, proiectată să interpreteze și să execute codul dezobfuscat, oferă atât calea de intrare, cât și mecanismul de execuție, ceea ce justifică scorul CVSS estimat foarte mare de 9.9 din perspectiva lor.
În ceea ce privește divulgarea, Patchstack afirmă că problema era cunoscută din octombrie și că Imunify360 AV a emis un patch, însă compania nu a publicat o declarație oficială și nu i s-a atribuit încă un CVE. Informațiile sunt listate public pe Zendesk-ul Imunify360 din 4 noiembrie 2025, dar absența unui CVE poate îngreuna urmărirea și conștientizarea riscului de către anumiți utilizatori sau administratori. Un identificator CVE facilitează catalogarea unei vulnerabilități și coordonarea remediilor în comunitate, iar lipsa lui lasă un gol în comunicarea publică a pericolului.
Ce pot face administratorii: Patchstack recomandă aplicarea imediată a actualizărilor furnizate de vendor pentru versiunile Imunify360 AV (AI-Bolit) anterioare 32.7.4.0 sau, dacă patch-ul nu este disponibil, eliminarea temporară a instrumentelor vulnerabile. Alte măsuri de atenuare includ izolarea mediului de execuție al scannerului, de exemplu rularea în containere izolate cu privilegii minime. Toți administratorii sunt sfătuiți să contacteze suportul CloudLinux / Imunify360 pentru a raporta posibile expuneri, a verifica dacă mediul lor a fost afectat și pentru a primi îndrumări post-incident.
Patchstack subliniază atât natura neobișnuită a exploatării, instrumentul creat pentru apărare folosit ca unealtă de atac, cât și importanța comunicării transparente din partea furnizorului. Cazul readuce în discuție o dilemă recurentă în istoria securității cibernetice: utilitarele pentru dezobfuscare și analiză pot deveni ele însele vectori de atac dacă nu sunt proiectate sau izolate adecvat.
Imunify360 AV este menționat explicit în raportul Patchstack, iar versiunile anterioare 32.7.4.0 sunt considerate afectate; Patchstack estimează un CVSS de 9.9. Administratorii ar trebui să verifice versiunile și să contacteze suportul CloudLinux / Imunify360 în caz de incertitudine. Gândiți-vă la scenariul în care un formular de comentarii nesecurizat devine breșa prin care atacatorii obțin acces la un întreg server, nu e un scenariu plăcut, dar este foarte concret și verificabil. Ce măsură concretă veți verifica prima pe serverele pe care le administrați?
Fii primul care comentează