O scanner de malware ImunifyAV para servidores Linux, usado por dezenas de milhões de sites, apresenta uma vulnerabilidade crítica de remote code execution (RCE) que pode comprometer todo o ambiente de hospedagem.
O problema afeta versões do componente de detecção AI-bolit anteriores à 32.7.4.0.
Esse componente integra a suíte Imunify360, a versão paga ImunifyAV+ e a versão gratuita ImunifyAV.
Segundo a empresa de segurança Patchstack, a vulnerabilidade é conhecida desde o final de outubro, quando a fabricante CloudLinux já havia lançado correções.
Até o momento, a falha não possui um identificador oficial (CVE).
Em 10 de novembro, a CloudLinux aplicou o patch em versões mais antigas do Imunify360 AV.
Em comunicado recente, o fornecedor alertou seus clientes sobre uma “vulnerabilidade crítica de segurança” e recomendou atualização imediata para a versão 32.7.4.0.
O ImunifyAV faz parte da suíte Imunify360, amplamente usada por provedores de hospedagem web e ambientes de hospedagem Linux compartilhada.
Em geral, o produto é instalado ao nível da plataforma de hospedagem, não diretamente pelos usuários finais.
É muito comum em planos de hospedagem compartilhada, servidores gerenciados para WordPress, cPanel/WHM e Plesk.
Embora os proprietários dos sites raramente interajam diretamente com ele, o Imunify roda silenciosamente por trás de 56 milhões de sites — segundo dados da Imunify em outubro de 2024 — com mais de 645 mil instalações do Imunify360.
A vulnerabilidade está na lógica de desofuscação do AI-bolit, que executa nomes de funções e dados controlados pelo atacante, extraídos de arquivos PHP ofuscados durante a análise para identificar malware.
Isso ocorre porque a ferramenta usa a função PHP ‘call_user_func_array’ sem validar previamente os nomes das funções chamadas, permitindo a execução de comandos perigosos, como system, exec, shell_exec, passthru, eval, entre outros.
De acordo com a Patchstack, a exploração exige que o Imunify360 AV realize a desofuscação ativa durante a análise — recurso desativado na configuração padrão do AI-bolit CLI isolado.
Porém, a integração do scanner no Imunify360 força esse modo “sempre ativo” para varreduras em segundo plano, sob demanda, iniciadas pelo usuário e rápidas, criando o cenário necessário para a exploração.
Os pesquisadores divulgaram um proof of concept (PoC) que cria um arquivo PHP na pasta tmp capaz de disparar a execução remota de código assim que for escaneado pelo antivírus.
Isso pode resultar no comprometimento total do site.
Caso o scanner seja executado com privilégios elevados em ambientes de hospedagem compartilhada, o ataque pode escalar para uma invasão completa do servidor.
A correção da CloudLinux adiciona um mecanismo de whitelist que permite executar apenas funções seguras e determinísticas durante a desofuscação, bloqueando a execução arbitrária de código.
Apesar da falta de alertas públicos claros por parte do fornecedor e da inexistência de um CVE para facilitar o acompanhamento, administradores de sistema devem atualizar para a versão 32.7.4.0 ou superior o quanto antes.
Até o momento, não há orientações oficiais para identificar sinais de comprometimento, nem informações sobre detecção ou confirmações de ataques ativos em ambientes reais.
Publicidade
A Solyd Hunter encontra, valida e entrega os melhores profissionais de Cibersegurança, Red Team, AppSec e Pentest para sua empresa com garantia e agilidade. Clique aqui e contrate com segurança. Saiba mais...