Неисправленные версии Imunify360 AV подвергают хостинговые платформы, обслуживающие до 56 миллионов веб-сайтов, возможному полному захвату серверов.
Критическая уязвимость была недавно обнаружена в Imunify360 AV, сканере безопасности, используемом хостинговыми компаниями для защиты более 56 миллионов веб-сайтов. Компания Patchstack, занимающаяся кибербезопасностью, предупреждает, что эта уязвимость может позволить злоумышленникам получить полный контроль над сервером и каждым веб-сайтом на нем.
<ч2>Imunify360 AV <п>Imunify360 AV — это система сканирования вредоносных программ, используемая несколькими хостинговыми компаниями. Уязвимость была обнаружена в движке сканирования файлов AI-Bolit и в отдельном модуле сканирования баз данных. Поскольку затронуты и сканеры файлов, и базы данных, злоумышленники могут скомпрометировать сервер двумя путями, что может привести к полному захвату сервера и потенциально подвергнуть риску миллионы веб-сайтов.
Patchstack поделился подробностями потенциального воздействия:
“Удаленные злоумышленники могут внедрить специально созданный запутанный PHP, который соответствует сигнатурам деобфускации imunify360AV (AI-bolit). Деобфускатор будет выполнять извлеченные функции над данными, контролируемыми злоумышленником, позволяя выполнять произвольные системные команды или произвольный PHP-код. Воздействие варьируется от взлома веб-сайта до полного захвата сервера в зависимости от конфигурации хостинга и привилегий.
<п>Обнаружение нетривиально, поскольку вредоносные полезные данные запутаны (шестнадцатеричные escape-последовательности, упакованные полезные данные, цепочки base64/gzinflate, пользовательские преобразования дельта/орд) и предназначены для деобфускации самим инструментом.
imunify360AV (Ai-Bolit) — это сканер вредоносных программ, специализирующийся на файлах, связанных с веб-сайтами, таких как php/js/html. По умолчанию сканер устанавливается как служба и работает с правами root
Эскалация общего хостинга: На общем хостинге успешная эксплуатация может привести к повышению привилегий и root-доступу в зависимости от того, как развернут сканер и его привилегии. если imunify360AV или его оболочка запускаются с повышенными привилегиями, злоумышленник может использовать RCE для перехода с одного взломанного сайта и полного контроля над хостом.”
Patchstack показывает, что собственная конструкция сканера предоставляет злоумышленникам как метод входа, так и механизм выполнения. Инструмент создан для деобфускации сложных полезных данных, и эта возможность становится причиной того, что эксплойт работает. Как только сканер декодирует функции, предоставленные злоумышленником, он может запускать их с теми же привилегиями, которые у него уже есть.
<п>В средах, где сканер работает с повышенным доступом, одна вредоносная полезная нагрузка может перейти от взлома на уровне веб-сайта к контролю над всем хост-сервером. Эта связь между деобфускацией, уровнем привилегий и выполнением объясняет, почему Patchstack классифицирует воздействие как вплоть до полного захвата сервера.
Два уязвимых пути: сканер файлов и сканер баз данных
Исследователи безопасности первоначально обнаружили уязвимость в сканере файлов, но позже выяснилось, что модуль сканирования базы данных уязвим таким же образом. Согласно объявлению: “сканер базы данных (imunify_dbscan.php) также был уязвим, и уязвим точно так же.” Оба компонента сканирования вредоносных программ (сканеры файлов и баз данных) передают вредоносный код во внутренние процедуры Imunify360, которые затем выполняют ненадежный код, предоставляя злоумышленникам два разных способа вызвать уязвимость.
Почему уязвимостью легко воспользоваться
Часть уязвимости, связанная со сканером файлов, требовала, чтобы злоумышленники поместили вредоносный файл на сервер в место, которое Imunify360 в конечном итоге просканировал. Но часть уязвимости, связанная со сканером базы данных, требует только возможности записи в базу данных, что часто встречается на платформах общего хостинга.
<п>Поскольку формы комментариев, контактные формы, поля профиля и журналы поиска могут записывать данные в базу данных, злоумышленнику становится легко внедрить вредоносный контент даже без аутентификации. Это делает уязвимость более широкой, чем обычная ошибка выполнения вредоносного ПО, поскольку она превращает обычный пользовательский ввод в вектор уязвимости для удаленного выполнения кода.
<ч2>Хронология молчания и раскрытия информации поставщиками
По данным Patchstack, Imunify360 AV выпустил патч, но никаких публичных заявлений об уязвимости сделано не было, и для нее не было выпущено CVE. CVE (Common Vulnerabilities and Exposures) — это уникальный идентификатор, присвоенный конкретной уязвимости в программном обеспечении. Он служит общедоступной записью и обеспечивает стандартизированный способ каталогизации уязвимостей, чтобы заинтересованные стороны были осведомлены о недостатке, особенно для управления рисками. Если CVE не выпущен, пользователи и потенциальные пользователи могут не узнать об уязвимости, даже если проблема уже публично указана в Zendesk Imunify360.
Patchstack объясняет:
“Эта уязвимость известна с конца октября, и вскоре после этого клиенты начали получать уведомления, и мы советуем затронутым хостинг-провайдерам обратиться к поставщику за дополнительной информацией о возможной эксплуатации в реальных условиях или о результатах внутреннего расследования.
К сожалению, команда Imunify360 не опубликовала никакого заявления по поводу этой проблемы, и никакой CVE еще не назначен. При этом проблема находится в публичном доступе на их Zendesk с 4 ноября 2025 года.
На основании нашего обзора этой уязвимости мы считаем, что оценка CVSS равна: 9,9”
Рекомендуемые действия для администраторов
Patchstack рекомендует администраторам серверов немедленно применить обновления безопасности поставщика, если используется Imunify360 AV (AI-bolit) до версии 32.7.4.0, или удалить инструмент, если установка исправлений невозможна. Если немедленное исправление невозможно применить, следует ограничить среду выполнения инструмента, например запустить его в изолированном контейнере с минимальными привилегиями. Всем администраторам также настоятельно рекомендуется связаться со службой поддержки CloudLinux/Imunify360, чтобы сообщить о потенциальном воздействии, подтвердить, не пострадала ли их среда, и совместно выработать рекомендации после инцидента.
