Одна брешь — 56 миллионов сайтов. Захватить сервер одним файлом — можно, если установлен антивирус ImunifyAV

leer en español

ImunifyAV CloudLinux Patchstack Imunify360 Linux уязвимость
Одна брешь — 56 миллионов сайтов. Захватить сервер одним файлом — можно, если установлен антивирус ImunifyAV
ImunifyAV CloudLinux Patchstack Imunify360 Linux уязвимость

Добрый доктор AI-Bolit, мне кажется, мой сайт лежит.

image

В экосистеме Linux-хостинга выявлена брешь: сканер вредоносного кода ImunifyAV оказался подвержен удалённому выполнению кода (RCE). Проблема затрагивает компонент AI-Bolit, встроенный в Imunify360, платный ImunifyAV+ и бесплатный ImunifyAV. Исправление появилось в конце октября, однако до сих пор уязвимости не присвоен идентификатор и отсутствуют рекомендации по проверке на следы взлома.

Информацию о дефекте опубликовала Patchstack. По словам компании, недочёт кроется в логике распаковки запутанных PHP-файлов, которая используется при анализе подозрительного содержимого. AI-Bolit вызывал PHP-функции, извлечённые из обфусцированных файлов, не проверяя допустимость таких вызовов. Из-за использования конструкции call_user_func_array без фильтрации имён происходило выполнение произвольных функций уровня system, exec, shell_exec, passthru, eval и других. В результате на сервере создавалась точка для сложных атак, способных приводить к захвату сайта и, при наличии расширенных прав у сканера, потенциальному контролю над всей машиной.

Хотя в автономной версии AI-Bolit функция активной деобфускации отключена, интеграция сканера в Imunify360 включает её в обязательном порядке. Это действует для фонового анализа, проверки по запросу, пользовательских запусков и ускоренных сканов, что создаёт необходимые условия для эксплуатации. Patchstack продемонстрировала рабочий пример: достаточно создать заранее подготовленный PHP-файл во временной директории, после чего при разборе такого объекта сканер выполнит вредоносную команду.

Популярность ImunifyAV делает проблему масштабной: решение встроено в панель cPanel/WHM, активно применяется на серверах Plesk, присутствует на любом типовом хостинге с защитой Imunify360. По данным компании за октябрь 2024 года, этот набор инструментов незаметно работает за кулисами 56 миллионов сайтов, а количество установок Imunify360 превышает 645 тысяч.

CloudLinux сообщила о выходе исправлений и рекомендовала администраторам обновиться до версии 32.7.4.0, в том числе на старых установках Imunify360 AV, куда исправления были перенесены 10 ноября. В новом релизе реализован белый список безопасных функций, который запрещает любое выполнение постороннего PHP-кода в процессе деобфускации. Несмотря на это, компания пока не предоставила инструкций по выявлению возможных компрометаций и не подтвердила случаи активных атак.