(https://i.postimg.cc/6Q1SXPjp/malware.gif) (https://postimages.org/)
El escáner de malware ImunifyAV para servidores Linux, utilizado por decenas de millones de sitios web, es vulnerable a una falla de ejecución remota de código que podría explotarse para comprometer el entorno de alojamiento.
El problema afecta a las versiones del componente de escaneo de malware AI-bolit anteriores a la 32.7.4.0. Este componente está presente en la suite Imunify360, en la versión de pago ImunifyAV+ y en ImunifyAV, la versión gratuita del escáner de malware.
Según la empresa de seguridad Patchstack, la vulnerabilidad se conoce desde finales de octubre, cuando el proveedor de ImunifyAV, CloudLinux, publicó correcciones. Actualmente, la falla no tiene un identificador asignado.
El 10 de noviembre, el proveedor implementó la solución en versiones anteriores de Imunify360 AV. En un aviso emitido ayer, CloudLinux advirtió a sus clientes sobre una vulnerabilidad de seguridad crítica y recomendó actualizar el software lo antes posible a la versión 32.7.4.0.
ImunifyAV forma parte del paquete de seguridad Imunify360, utilizado principalmente por proveedores de alojamiento web o entornos de alojamiento compartido Linux genéricos.
El producto se instala normalmente en la plataforma de alojamiento, no directamente por los usuarios finales. Es muy común en planes de alojamiento compartido, alojamiento gestionado de WordPress, servidores cPanel/WHM y servidores Plesk.
Los propietarios de sitios web rara vez interactúan directamente con él, pero sigue siendo una herramienta omnipresente que se ejecuta silenciosamente en 56 millones de sitios web, según datos de Imunify de octubre de 2024, que también indican más de 645 000 instalaciones de Imunify360.
La causa principal de la vulnerabilidad reside en la lógica de desofuscación de AI-bolit, que ejecuta nombres de funciones controlados por el atacante y datos extraídos de archivos PHP ofuscados al intentar desempaquetar malware para su análisis.
Esto ocurre porque la herramienta utiliza `call_user_func_array` sin validar los nombres de las funciones, lo que permite la ejecución de funciones PHP peligrosas como `system`, `exec`, `shell_exec`, `passthru`, `eval`, entre otras.
Patchstack señala que para explotar la vulnerabilidad se requiere que el antivirus Imunify360 realice una desofuscación activa durante el análisis, la cual está deshabilitada en la configuración predeterminada de la CLI independiente de AI-bolit.
Sin embargo, la integración del componente de escaneo de Imunify360 fuerza un estado de "activación permanente" para los análisis en segundo plano, los análisis bajo demanda, los análisis iniciados por el usuario y los análisis rápidos, lo que cumple con los requisitos de explotación.
Los investigadores compartieron una prueba de concepto (PoC) de una vulnerabilidad que crea un archivo PHP en el directorio tmp, lo que activará la ejecución remota de código cuando sea escaneado por el antivirus.
Exploit prueba de concepto
(https://www.bleepstatic.com/images/news/u/1220909/2025/November/poc(1).png)
Esto podría permitir la vulneración total de un sitio web y, si el escáner se ejecuta con privilegios elevados en configuraciones de alojamiento compartido, las consecuencias podrían extenderse a la toma de control total del servidor.
La solución de CloudLinux añade un mecanismo de lista blanca que solo permite la ejecución de funciones seguras y deterministas durante la desofuscación, lo que bloquea la ejecución de funciones arbitrarias.
A pesar de la falta de advertencias claras por parte del proveedor o de un identificador CVE que ayude a alertar sobre el problema y a rastrearlo, los administradores de sistemas deberían actualizar a la versión v32.7.4.0 o posterior.
Actualmente, no existen instrucciones oficiales sobre cómo comprobar si el sistema está comprometido, ni guías de detección, ni confirmación de explotación activa en la práctica.
Fuente:
BleepingComputer
https://www.bleepingcomputer.com/news/security/rce-flaw-in-imunifyav-puts-millions-of-linux-hosted-sites-at-risk/