Μια σοβαρή ευπάθεια απομακρυσμένης εκτέλεσης κώδικα (RCE) ανακαλύφθηκε στο Imunify360 AV, έναν ευρέως χρησιμοποιούμενο σαρωτή κακόβουλου λογισμικού που προστατεύει περίπου 56 εκατομμύρια ιστότοπους.
Το ελάττωμα ασφαλείας, το οποίο διορθώθηκε πρόσφατα από το CloudLinux, επιτρέπει στους εισβολείς να εκτελούν αυθαίρετες εντολές και ενδεχομένως να αναλαμβάνουν τον πλήρη έλεγχο των διακομιστών φιλοξενίας.
Οι ερευνητές του Patchstack ανακάλυψαν ένα ελάττωμα στη λογική απεμπλοκής του Imunify360 AV που χρησιμοποιείται για την ανάλυση κακόβουλου κώδικα PHP.
Imunify360 AV RCE Τρωτό
Οι εισβολείς μπορούν να δημιουργήσουν ειδικά κωδικοποιημένα αρχεία PHP που παραπλανούν τον σαρωτή να εκτελέσει επιβλαβείς λειτουργίες, όπως system(), exec() ή eval(), κατά την ανάλυση.
Επειδή ο σαρωτής συνήθως εκτελείται με δικαιώματα root, η επιτυχής εκμετάλλευση μπορεί να οδηγήσει σε πλήρη εξαγορά διακομιστή.
Η ανάλυση Patchstack υπογραμμίζει ένα ανησυχητικό ελάττωμα: η απεμπλοκή ενεργοποιείται αυτόματα στην προεπιλεγμένη διαμόρφωση του Imunify360 AV για όλους τους τύπους σάρωσης.
| Ιδιότης | Καθέκαστα |
|---|---|
| Τύπος ευπάθειας | Απομακρυσμένη εκτέλεση κώδικα (RCE) |
| Προϊόν που επηρεάζεται | Imunify360 AV (AI-Bolit) |
| Εκδόσεις που επηρεάζονται | Πριν από την έκδοση 32.7.4.0 |
| Ενημερωμένη έκδοση | v32.7.4.0 και νεότερη έκδοση |
Συμπεριλαμβάνονται σαρώσεις φόντου, σαρώσεις κατ’ απαίτηση και γρήγορες σαρώσεις λογαριασμού. Αυτό σημαίνει ότι τα ευάλωτα συστήματα διατρέχουν συνεχώς κίνδυνο κάθε φορά που λειτουργεί ο σαρωτής. Σε κοινόχρηστα περιβάλλοντα φιλοξενίας, αυτή η ευπάθεια αποτελεί εξαιρετικό κίνδυνο.
Οι εισβολείς που παραβιάζουν έναν ιστότοπο μπορούν να κλιμακώσουν τα προνόμια για να αποκτήσουν πρόσβαση root, θέτοντας σε κίνδυνο κάθε ιστότοπο και πελάτη στον ίδιο διακομιστή.
Αυτή η δυνατότητα πλευρικής μετακίνησης καθιστά την ευπάθεια ιδιαίτερα σοβαρή για παρόχους φιλοξενίας που εξυπηρετούν πολλούς πελάτες. Το CloudLinux κυκλοφόρησε μια ενημέρωση κώδικα στις 21 Οκτωβρίου 2025, αλλά συγκεκριμένα δεν έχει εκδώσει επίσημη ανάθεση CVE ή συμβουλευτική για την ασφάλεια.
Πληροφορίες σχετικά με την ευπάθεια εμφανίστηκαν στη σελίδα υποστήριξης Zendesk στις 4 Νοεμβρίου 2025, παρόλο που οι λεπτομέρειες εκμετάλλευσης κυκλοφορούσαν από τα τέλη Οκτωβρίου.
Οι ειδικοί του Patchstack συνιστούν στις εταιρείες φιλοξενίας όχι μόνο να επιδιορθώσουν αμέσως, αλλά και να διερευνήσουν εάν οι διακομιστές τους έχουν ήδη παραβιαστεί.
Οι εταιρείες φιλοξενίας θα πρέπει να αναβαθμίσουν στην έκδοση Imunify360 AV 32.7.4.0 ή μεταγενέστερη χωρίς καθυστέρηση και να διενεργήσουν εγκληματολογικούς ελέγχους για ενδείξεις εκμετάλλευσης στην υποδομή τους.
Related Posts
Cl0P Ransomware Group ισχυρίζεται ότι παραβίασε την ανάθεση στο Oracle 0-Day EBS Hack
Χάκερ που εκμεταλλεύονται τα εργαλεία RMM LogMeIn και PDQ Connect για να αναπτύξουν κακόβουλο λογισμικό ως κανονικό πρόγραμμα
Χάκερ που εκμεταλλεύονται ενεργά Cisco και Citrix 0-Days in the Wild για να αναπτύξουν το Webshell
