Redazione RHC:14 Novembro 2025 13:38
Um vulnerabilidade foi descoberta no ecossistema de hospedagem Linux 😮 ImunifyAV descobriu-se que o scanner de malware é vulnerável à execução remota de código (RCE).
O problema afeta o AI-Bolit componente integrado em Imunify360 , a versão paga ImunifyAV+ e a versão gratuita ImunifyAV. Uma correção foi lançada no final de outubro, mas A vulnerabilidade ainda não foi identificada e não há recomendações para verificar se há sinais de hacking.
Patchstack publicou informações sobre a falha em questão. De acordo com a empresa, a falha está na lógica usada para descompactar arquivos PHP ofuscados enquanto analisa conteúdo suspeito. AI-Bolit chamado funções PHP extraídas de arquivos ofuscados sem verificar sua validade. Usando a construção call_user_func_array sem filtragem de nomes, ele executou funções arbitrárias no nível do sistema, executivo, shell_exec, passageiro , Eval , e outros. Isso criou uma plataforma no servidor para ataques sofisticados capazes de assumir o controle do site e, com privilégios avançados de varredura , potencialmente ganhando controle sobre toda a máquina.
Embora a desofuscação ativa esteja desativada na versão autônoma do AI-Bolit, a integração do scanner com o Imunify360 a habilita. Isso se aplica à varredura em segundo plano, varredura por solicitação, varreduras definidas pelo usuário e varreduras aceleradas, criar as condições necessárias para a exploração. Patchstack demonstrou um exemplo de trabalho: simplesmente criar um arquivo PHP pré-configurado em um diretório temporário . Depois de analisar este objeto, o scanner executará um comando malicioso .
A popularidade do ImunifyAV torna o problema generalizado: a solução está integrada ao cPanel/WHM painel de controle, é usado ativamente em instalações de servidor e está presente em qualquer hospedagem padrão com proteção Imunify360. De acordo com o dados a partir de outubro de 2024, este conjunto de ferramentas opera silenciosamente nos bastidores em 56 milhões de sites e o número de instalações do Imunify360 excede 645.000.
CloudLinux anunciado o lançamento do patch e recomendou que os administradores atualizassem para a versão 32.7.4.0, incluindo instalações AV mais antigas do Imunify360, para as quais os patches foram Migrados em 10 de novembro.
A nova versão implementa uma lista de permissões de funções seguras que impede a execução de código PHP não autorizado durante o Desofuscação processo. No entanto, a empresa ainda não forneceu instruções para identificar possíveis comprometimentos, nem confirmou a presença de ataques ativos.
Redação
A equipe editorial da Red Hot Cyber é composta por um grupo de indivíduos e fontes anônimas que colaboram ativamente para fornecer informações e notícias antecipadas sobre segurança cibernética e computação em geral.