O scanner de malware ImunifyAV para servidores Linux, usado por dezenas de milhões de sites, apresenta uma vulnerabilidade crítica de remote code execution (RCE) que pode comprometer todo o ambiente de hospedagem.
O problema afeta versões do componente de detecção AI-bolit anteriores à 32.7.4.0.
Esse componente integra a suíte Imunify360, a versão paga ImunifyAV+ e a versão gratuita ImunifyAV.
Segundo a empresa de segurança Patchstack, a vulnerabilidade é conhecida desde o final de outubro, quando a fabricante CloudLinux já havia lançado correções.
Até o momento, a falha não possui um identificador oficial (CVE).
Em 10 de novembro, a CloudLinux aplicou o patch em versões mais antigas do Imunify360 AV.
Em comunicado recente, o fornecedor alertou seus clientes sobre uma “vulnerabilidade crítica de segurança” e recomendou atualização imediata para a versão 32.7.4.0.
O ImunifyAV faz parte da suíte Imunify360, amplamente usada por provedores de hospedagem web e ambientes de hospedagem Linux compartilhada.
Em geral, o produto é instalado ao nível da plataforma de hospedagem, não diretamente pelos usuários finais.
É muito comum em planos de hospedagem compartilhada, servidores gerenciados para WordPress, cPanel/WHM e Plesk.
Embora os proprietários dos sites raramente interajam diretamente com ele, o Imunify roda silenciosamente por trás de 56 milhões de sites — segundo dados da Imunify em outubro de 2024 — com mais de 645 mil instalações do Imunify360.
A vulnerabilidade está na lógica de desofuscação do AI-bolit, que executa nomes de funções e dados controlados pelo atacante, extraídos de arquivos PHP ofuscados durante a análise para identificar malware.
Isso ocorre porque a ferramenta usa a função PHP ‘call_user_func_array’ sem validar previamente os nomes das funções chamadas, permitindo a execução de comandos perigosos, como system, exec, shell_exec, passthru, eval, entre outros.
De acordo com a Patchstack, a exploração exige que o Imunify360 AV realize a desofuscação ativa durante a análise — recurso desativado na configuração padrão do AI-bolit CLI isolado.
Porém, a integração do scanner no Imunify360 força esse modo “sempre ativo” para varreduras em segundo plano, sob demanda, iniciadas pelo usuário e rápidas, criando o cenário necessário para a exploração.
Os pesquisadores divulgaram um proof of concept (PoC) que cria um arquivo PHP na pasta tmp capaz de disparar a execução remota de código assim que for escaneado pelo antivírus.
Isso pode resultar no comprometimento total do site.
Caso o scanner seja executado com privilégios elevados em ambientes de hospedagem compartilhada, o ataque pode escalar para uma invasão completa do servidor.
A correção da CloudLinux adiciona um mecanismo de whitelist que permite executar apenas funções seguras e determinísticas durante a desofuscação, bloqueando a execução arbitrária de código.
Apesar da falta de alertas públicos claros por parte do fornecedor e da inexistência de um CVE para facilitar o acompanhamento, administradores de sistema devem atualizar para a versão 32.7.4.0 ou superior o quanto antes.
Até o momento, não há orientações oficiais para identificar sinais de comprometimento, nem informações sobre detecção ou confirmações de ataques ativos em ambientes reais.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...