A közelmúltban kritikus sérülékenységet fedeztek fel az Imunify360 AV-ben, a webtárhely-szolgáltatók által több mint 56 millió webhely védelmére használt biztonsági szkennerben. A Patchstack kiberbiztonsági cég figyelmeztetése arra figyelmeztet, hogy a biztonsági rés lehetővé teszi a támadók számára, hogy teljes irányítást szerezzenek a szerver és minden azon lévő webhely felett.
Imunify360 AV
Az Imunify360 AV egy kártevő-ellenőrző rendszer, amelyet több tárhelyszolgáltató is használ. A sérülékenységet az AI-Bolit fájlellenőrző motorjában és a különálló adatbázis-ellenőrző modulban fedezték fel. Mivel mind a fájl-, mind az adatbázis-ellenőrző érintett, a támadók két úton is feltörhetik a kiszolgálót, ami lehetővé teszi a teljes szerverátvételt, és webhelyek millióit teheti veszélybe.
A Patchstack megosztotta a lehetséges hatás részleteit:
„A távoli támadók speciálisan kialakított obfuszkált PHP-t ágyazhatnak be, amely megfelel az imunify360AV (AI-bolit) deobfuszkációs szignatúráknak. A deobfuszkáló a támadó által vezérelt adatokon kivonatolt funkciókat hajt végre, lehetővé téve tetszőleges rendszerparancsok vagy tetszőleges PHP-kódok végrehajtását. A hatás a webhelyek kompromittálásától a teljes szerverkonfigurációtól és az átvételig terjed.
Az észlelés nem triviális, mert a rosszindulatú hasznos terhelések homályosak (hexa kilépések, csomagolt hasznos adatok, base64/gzinflate láncok, egyéni delta/ord transzformációk), és az eszköz célja, hogy deobfuszkálja őket.
Az imunify360AV (Ai-Bolit) egy rosszindulatú programkereső, amely webhelyekkel kapcsolatos fájlokra specializálódott, mint például a php/js/html. Alapértelmezés szerint a szkenner szolgáltatásként van telepítve, és root jogosultságokkal működik
Megosztott tárhely eszkalációja: A megosztott tárhelyen a sikeres kihasználás a jogosultságok kiszélesítéséhez és a root hozzáféréshez vezethet a szkenner telepítési módjától és jogosultságaitól függően. Ha az imunify360AV vagy annak burkolója emelt szintű jogosultságokkal fut, a támadó kihasználhatja az RCE-t, hogy egyetlen feltört webhelyről a teljes gazdagép-ellenőrzés felé mozduljon el.”
A Patchstack azt mutatja, hogy a szkenner saját kialakítása megadja a támadóknak a belépési módot és a végrehajtás mechanizmusát is. Az eszköz az összetett hasznos terhelések deobfuszkálására készült, és ez a képesség lesz az oka a kihasználásnak. Miután a szkenner dekódolja a támadó által biztosított funkciókat, ugyanazokkal a jogosultságokkal tudja futtatni azokat, amelyekkel már rendelkezik.
Azokban a környezetekben, ahol a szkenner megemelt hozzáféréssel működik, egyetlen rosszindulatú rakomány is átkerülhet a webhelyszintű kompromisszumból a teljes tárhelyszerver vezérlésébe. Ez a kapcsolat a deobfuszkáció, a jogosultsági szint és a végrehajtás között megmagyarázza, hogy a Patchstack miért minősíti a hatást a teljes szerverátvételig terjedőnek.
Két sebezhető útvonal: fájlszkenner és adatbázis-szkenner
A biztonsági kutatók kezdetben a fájlszkenner hibáját fedezték fel, de később az adatbázis-ellenőrző modulról is kiderült, hogy ugyanígy sebezhető. A közlemény szerint: „az adatbázis-szkenner (imunify_dbscan.php) is sebezhető volt, és pontosan ugyanúgy sebezhető.” Mindkét rosszindulatú program-ellenőrző összetevő (fájl- és adatbázis-ellenőrző) rosszindulatú kódot továbbít az Imunify360 belső rutinjaiba, amelyek aztán végrehajtják a nem megbízható kódot, így a támadók kétféle módon válthatják ki a sebezhetőséget.
Miért könnyű kihasználni a sebezhetőséget?
A biztonsági rés fájlolvasó része megkövetelte a támadóktól, hogy kártékony fájlt helyezzenek el a kiszolgálón olyan helyen, amelyet az Imunify360 végül megvizsgál. A sérülékenység adatbázis-szkenner részéhez azonban csak az adatbázisba való írás képességére van szüksége, ami gyakori a megosztott tárhely platformokon.
Mivel a megjegyzésűrlapok, kapcsolatfelvételi űrlapok, profilmezők és keresési naplók adatokat írhatnak az adatbázisba, a rosszindulatú tartalom bejuttatása még hitelesítés nélkül is egyszerűvé válik a támadók számára. Ez a sérülékenységet szélesebbé teszi, mint egy normál rosszindulatú program-végrehajtási hiba, mivel a gyakori felhasználói bevitelt sebezhetőségi vektorré alakítja a távoli kódfuttatáshoz.
A szállítói csend és nyilvánosságra hozatal idővonala
A Patchstack szerint az Imunify360 AV kiadott egy javítást, de nyilvánosan nem nyilatkoztak a sérülékenységről, és nem adtak ki CVE-t sem. A CVE (Common Vulnerabilities and Exposures) egy egyedi azonosító, amely a szoftver egy adott sebezhetőségéhez van hozzárendelve. Nyilvános nyilvántartásként szolgál, és szabványosított módot biztosít a sebezhetőség katalogizálására, hogy az érdekelt felek tudatában legyenek a hibának, különösen a kockázatkezelés terén. Ha nem adnak ki CVE-t, akkor előfordulhat, hogy a felhasználók és a potenciális felhasználók nem szereznek tudomást a biztonsági résről, noha a probléma már nyilvánosan szerepel az Imunify360 Zendesk-én.
Patchstack elmagyarázza:
„Ez a sérülékenység október vége óta ismert, és az ügyfelek nem sokkal ezután kaptak értesítéseket, és azt tanácsoljuk az érintett tárhelyszolgáltatóknak, hogy további információért forduljanak a szolgáltatóhoz a lehetséges vadonban történő kizsákmányolással vagy a belső vizsgálat eredményeivel kapcsolatban.
Sajnos az Imunify360 csapata nem adott ki közleményt a problémáról, és még nem jelöltek ki CVE-t. Ugyanakkor a szám 2025. november 4-e óta nyilvánosan elérhető a Zendesk-en.
A biztonsági rés áttekintése alapján a CVSS pontszáma a következő: 9,9”
Rendszergazdák számára javasolt teendők
A Patchstack azt javasolja, hogy a kiszolgáló rendszergazdái azonnal alkalmazzák a gyártó biztonsági frissítéseit, ha az Imunify360 AV (AI-bolit) 32.7.4.0-s verzió előtt futnak, vagy távolítsák el az eszközt, ha a javítás nem lehetséges. Ha az azonnali javítás nem alkalmazható, korlátozni kell az eszköz végrehajtási környezetét, például egy elszigetelt tárolóban, minimális jogosultságokkal futtatva. Minden adminisztrátort arra is felszólítunk, hogy lépjen kapcsolatba a CloudLinux / Imunify360 ügyfélszolgálatával, hogy jelentse a potenciális kitettséget, ellenőrizze, hogy a környezet érintett-e, és működjenek együtt az incidens utáni útmutatásban.
