Критическая уязвимость была недавно обнаружена в Imunify360 AV, сканере безопасности, используемом хостинговыми компаниями для защиты более 56 миллионов веб-сайтов. В сообщении компании Patchstack, занимающейся кибербезопасностью, предупреждается, что уязвимость может позволить злоумышленникам получить полный контроль над сервером и всеми веб-сайтами на нем.
Содержание
Immunify360 ВЫКЛ.
Imunify360 AV — это система сканирования вредоносных программ, используемая несколькими хостинговыми компаниями. Уязвимость была обнаружена в движке сканирования файлов AI-Bolit и отдельном движке сканирования баз данных. Поскольку затронуты как сканеры файлов, так и базы данных, злоумышленники могут скомпрометировать сервер двумя способами, позволяя полностью захватить сервер и потенциально поставить под угрозу миллионы веб-сайтов.
Стек патчей общие данные из возможных эффектов:
«Удаленные злоумышленники могут встроить специально созданный запутанный PHP, который соответствует сигнатурам деобфускации imunify360AV (AI-bolit). Деобфускатор выполняет извлеченные функции над данными, контролируемыми злоумышленником, позволяя выполнять произвольные системные команды или произвольный PHP-код. Воздействие варьируется от компрометации веб-сайта до полного захвата сервера, в зависимости от конфигурации хостинга и разрешений.
Обнаружение является нетривиальной задачей, поскольку вредоносные полезные данные запутаны (шестнадцатеричные escape-символы, упакованные полезные данные, цепочки base64/gzinflate, пользовательские преобразования дельта/орд) и предназначены для деобфускации самим инструментом.
imunify360AV (Ai-Bolit) — это сканер вредоносных программ, специализирующийся на файлах, связанных с веб-сайтами, таких как PHP/JS/HTML. По умолчанию сканер устанавливается как сервис и работает с root-правами.
Повышение уровня общего хостинга. При использовании общего хостинга успешная эксплуатация может привести к повышению привилегий и корневому доступу, в зависимости от того, как развернут сканер и его разрешения. Если imunify360AV или его оболочка запускаются с повышенными привилегиями, злоумышленник может использовать RCE для перехода от одного скомпрометированного сайта к полному контролю над хостом».
Patchstack показывает, что конструкция сканера предоставляет злоумышленникам как метод входа, так и механизм выполнения. Инструмент предназначен для расшифровки сложных полезных данных, и именно эта способность является причиной того, что эксплойт работает. Как только сканер декодирует функции, предоставленные злоумышленником, он может выполнить их с теми же привилегиями, которые у него уже есть.
В средах, где сканер работает с повышенным доступом, одна вредоносная полезная нагрузка может перейти от компрометации на уровне веб-сайта к контролю всего хост-сервера. Эта связь между деобфускацией, уровнем привилегий и выполнением объясняет, почему Patchstack классифицирует воздействие как полное перехват сервера.
Два уязвимых пути: сканер файлов и сканер баз данных.
Исследователи безопасности первоначально обнаружили уязвимость в сканере файлов, но позже выяснилось, что механизм сканирования базы данных также уязвим. Согласно объявлению: «Сканер базы данных (imunify_dbscan.php) также был уязвим, причем точно так же.«Оба компонента сканирования вредоносных программ (сканеры файлов и баз данных) передают вредоносный код внутренним процедурам Imunify360, которые затем выполняют ненадежный код, предоставляя злоумышленникам два разных варианта запуска уязвимости.
Почему уязвимость легко эксплуатировать
Часть уязвимости, связанная со сканером файлов, требовала от злоумышленников разместить вредоносный файл в том месте на сервере, которое Imunify360 в конечном итоге просканирует. Однако часть уязвимости, связанная со сканером базы данных, требует только возможности записи в базу данных, что часто встречается на платформах общего хостинга.
Поскольку формы комментариев, контактные формы, поля профиля и журналы поиска могут записывать данные в базу данных, злоумышленнику легко внедрить вредоносный контент даже без аутентификации. Это делает уязвимость более распространенной, чем обычная ошибка выполнения вредоносного ПО, поскольку она преобразует обычный пользовательский ввод в вектор уязвимости удаленного выполнения кода.
График молчания и раскрытия информации поставщиком
По данным Patchstack, Imunify360 AV выпустил патч, но никаких публичных заявлений об уязвимости сделано не было, и для нее не было выпущено CVE. CVE (Common Vulnerabilities and Exposures) — это уникальный идентификатор, присвоенный конкретной уязвимости в программном обеспечении. Он служит общедоступной записью и обеспечивает стандартизированный способ каталогизации уязвимостей, чтобы заинтересованные стороны были осведомлены об уязвимости, особенно для управления рисками. Если CVE не выпущен, пользователи и потенциальные пользователи могут не знать об уязвимости, даже если проблема уже публично указана в Zendesk Imunify360.
Стек патчей объясняет:
«Эта уязвимость известна с конца октября, и вскоре после этого клиенты получили уведомления. Мы советуем затронутым хостинг-провайдерам связаться с провайдером для получения дополнительной информации о возможной эксплуатации в реальных условиях или для получения результатов внутренних расследований.
К сожалению, команда Imunify360 не опубликовала заявления по этой проблеме, и CVE еще не назначен. При этом издание находится в публичном доступе в вашем Zendesk с 4 ноября 2025 года.
На основании нашего обзора этой уязвимости мы считаем, что оценка CVSS составляет 9,9.
Рекомендуемые действия для администраторов
Patchstack рекомендует администраторам серверов немедленно применять обновления безопасности поставщика при запуске Imunify360 AV (AI-bolit) до версии 32.7.4.0 или удалять инструмент, если установка исправлений невозможна. Если немедленное исправление невозможно применить, следует ограничить среду выполнения инструмента, например. Б. работа в изолированном контейнере с минимальными привилегиями. Всем администраторам также настоятельно рекомендуется связаться со службой поддержки CloudLinux/Imunify360, чтобы сообщить о потенциальных компрометациях, подтвердить, была ли затронута их среда, и совместно выработать рекомендации после инцидента.
Рекомендованное изображение из Shutterstock/DC Studio.
