ImunifyAV曝遠程代碼執(zhí)行漏洞 數百萬Linux托管網站面臨風險

Linux服務器專用惡意軟件掃描工具ImunifyAV存在遠程代碼執(zhí)行漏洞，攻擊者可利用該漏洞入侵主機環(huán)境。這款工具目前已被數千萬個網站采用。

該漏洞影響AI-bolit惡意軟件掃描組件的32.7.4.0版本之前的所有版本。該組件集成于Imunify360安全套件、付費版ImunifyAV+，以及免費版惡意軟件掃描工具ImunifyAV中。

據安全公司Patchstack透露，該漏洞已于10月底被發(fā)現，工具開發(fā)商CloudLinux當時已發(fā)布修復補丁。目前該漏洞尚未分配CVE編號。

11月10日，開發(fā)商將該補丁反向移植到舊版本Imunify360 AV中。在最新發(fā)布的安全公告中，CloudLinux警告用戶該漏洞屬于“高危安全漏洞”，建議“盡快”將軟件升級至32.7.4.0版本。

工具應用范圍廣泛

ImunifyAV是Imunify360安全套件的組成部分，主要用于虛擬主機服務商或通用Linux共享主機環(huán)境。該產品通常在主機平臺層面安裝，而非由終端用戶直接部署。它在共享主機方案、托管式WordPress主機、cPanel/WHM服務器及Plesk服務器中應用極為普遍。

據Imunify 2024年10月公布的數據，雖然網站管理員很少直接與該工具交互，但它仍是一款無處不在的后臺工具，默默為5600萬個網站提供防護，且Imunify360的安裝量已超過64.5萬次。

漏洞成因與利用條件

該漏洞的根源在于AI-bolit組件的反混淆邏輯：當工具嘗試解包惡意軟件以進行掃描時，會執(zhí)行從混淆PHP文件中提取的、由攻擊者控制的函數名和數據。

這一問題的核心是工具使用了“call_user_func_array”函數，但未對函數名進行驗證，導致攻擊者可執(zhí)行system、exec、shell_exec、passthru、eval等危險PHP函數。

Patchstack指出，利用該漏洞的前提是Imunify360 AV在分析環(huán)節(jié)啟用主動反混淆功能——獨立版AI-Bolit命令行工具（CLI）的默認配置中，該功能處于禁用狀態(tài)。

但Imunify360套件中集成的掃描組件，會強制在后臺掃描、按需掃描、用戶發(fā)起掃描及快速掃描中保持“始終開啟”反混淆功能，這恰好滿足了漏洞利用的條件。

研究人員已公開一個概念驗證（PoC）漏洞利用代碼：在tmp目錄創(chuàng)建一個PHP文件，當殺毒工具掃描該文件時，就會觸發(fā)遠程代碼執(zhí)行。

概念驗證利用

這可能導致整個網站被入侵，若掃描工具在共享主機環(huán)境中以高權限運行，還可能引發(fā)服務器完全被接管的嚴重后果。

CloudLinux的修復方案新增了白名單機制，僅允許安全、確定的函數在反混淆過程中執(zhí)行，從而阻止任意函數調用。

盡管開發(fā)商未發(fā)布明確警告，也未分配便于預警和追蹤的CVE編號，但系統管理員仍應將軟件升級至32.7.4.0版本或更高版本。

目前，官方尚未提供漏洞入侵檢測方法、檢測指南，也未確認該漏洞是否已被在野利用。隨后，Patchstack研究人員經進一步檢測發(fā)現，該漏洞的嚴重程度超出最初預期——存在一種更簡易的利用途徑，無需上傳惡意軟件即可發(fā)起攻擊。

參考及來源：https://www.bleepingcomputer.com/news/security/rce-flaw-in-imunifyav-puts-millions-of-linux-hosted-sites-at-risk/