- 22,252
- 46
- 8 Ноя 2022
Критическое RCE в модуле AI-Bolit позволяет выполнить любой код удаленно.
Сканер вредоносного кода ImunifyAV для Linux-серверов, который, по данным разработчика, работает на десятках миллионов сайтов, оказался уязвим для удалённого выполнения кода . Уязвимость позволяет атакующему выполнять собственные команды от имени антивирусного процесса и в итоге получить контроль над хостингом, где установлен продукт.
Проблема связана с модулем AI-Bolit, который отвечает за анализ вредоносных PHP-скриптов. Уязвимы все версии этого компонента до 32.7.4.0. AI-Bolit используется сразу в нескольких продуктах: в составе Imunify360, в платном ImunifyAV+ и в бесплатном ImunifyAV. Компания Patchstack отмечает, что о дефекте известно с конца октября — именно тогда CloudLinux выпустила исправления, хотя официального идентификатора у проблемы до сих пор нет.
10 ноября производитель дополнительно перенёс патч на более старые выпуски антивирусной части Imunify360, чтобы закрыть брешь в уже развёрнутых установках. В отдельном уведомлении CloudLinux предупредила клиентов о «критической уязвимости» и рекомендовала как можно быстрее обновиться до версии 32.7.4.0 или более новой. При этом подробного описания рисков и публичного разъяснения механизма атаки пока не появилось.
ImunifyAV является частью Imunify360 и широко используется провайдерами веб-хостинга и в стандартных сценариях общего Linux-хостинга. Обычно такой инструмент разворачивается на уровне хостинговой платформы: администраторы включают его в панели управления, а владельцы сайтов зачастую даже не подозревают, что он работает в фоновом режиме. По данным Imunify на октябрь 2024 года, защитный пакет присутствует примерно на 56 миллионах сайтов, а число установок Imunify360 превышает 645 тысяч. Продукт особенно распространён на тарифах общего хостинга, в управляемых WordPress-платформах, а также на серверах с cPanel/WHM и Plesk.
Основная причина уязвимости — логика обработки обфусцированных PHP-файлов в AI-Bolit. Во время разборки подозрительного скрипта модуль не ограничивается анализом, а способен выполнять имена функций и данные, извлечённые из проверяемого файла. Это происходит из-за использования конструкции call_user_func_array без проверки допустимости вызываемой функции. В результате злоумышленник может подставить в подготовленный файл имена потенциально опасных PHP-функций — system, exec, shell_exec, passthru, eval и других — и добиться их выполнения.
Patchstack указывает, что атака возможна только при активной деобфускации на этапе анализа. В отдельной консольной утилите AI-Bolit CLI эта опция выключена по умолчанию. Но в составе Imunify360 расширенная разборка включена принудительно для всех типов проверок — фоновых, по расписанию, по запросу пользователя и ускоренных сканов. Такая конфигурация полностью удовлетворяет условиям эксплуатации уязвимости и делает атаку незаметной для администратора.
Исследователи опубликовали демонстрационный эксплойт , который создаёт специально подготовленный PHP-файл во временном каталоге. Если антивирус сталкивается с ним во время проверки, запускается цепочка действий, приводящая к удалённому выполнению кода. По оценке Patchstack, это позволяет атакующему полностью скомпрометировать сайт, а при запуске сканера с повышенными привилегиями в среде общего хостинга последствия могут доходить до захвата всего сервера.
Исправление, внедрённое CloudLinux, добавляет в AI-Bolit механизм «белого списка»: в процессе деобфускации разрешается запуск только ограниченного набора заранее определённых функций. Все остальные варианты блокируются, что предотвращает вызов произвольных конструкций вроде system или eval. В результате неконтролируемый вызов через call_user_func_array становится невозможным.
При этом вокруг ситуации остаётся информационный вакуум. У уязвимости до сих пор нет CVE-идентификатора, отсутствуют методики проверки уже скомпрометированных систем, нет рекомендаций по поиску следов атаки. Также пока не сообщалось о зафиксированных попытках эксплуатации. Издание BleepingComputer направило запрос в CloudLinux с просьбой прокомментировать инцидент, но на момент публикации ответа не получило.
Администраторам инфраструктур, где используется ImunifyAV, ImunifyAV+ или Imunify360 с модулем AI-Bolit, по сути остаётся единственный надёжный вариант — обновиться до версии 32.7.4.0 или новее. Без этого инструмент, который должен защищать сайты от вредоносных файлов, сам превращается в удобную точку входа для атак.
Сканер вредоносного кода ImunifyAV для Linux-серверов, который, по данным разработчика, работает на десятках миллионов сайтов, оказался уязвим для удалённого выполнения кода . Уязвимость позволяет атакующему выполнять собственные команды от имени антивирусного процесса и в итоге получить контроль над хостингом, где установлен продукт.
Проблема связана с модулем AI-Bolit, который отвечает за анализ вредоносных PHP-скриптов. Уязвимы все версии этого компонента до 32.7.4.0. AI-Bolit используется сразу в нескольких продуктах: в составе Imunify360, в платном ImunifyAV+ и в бесплатном ImunifyAV. Компания Patchstack отмечает, что о дефекте известно с конца октября — именно тогда CloudLinux выпустила исправления, хотя официального идентификатора у проблемы до сих пор нет.
10 ноября производитель дополнительно перенёс патч на более старые выпуски антивирусной части Imunify360, чтобы закрыть брешь в уже развёрнутых установках. В отдельном уведомлении CloudLinux предупредила клиентов о «критической уязвимости» и рекомендовала как можно быстрее обновиться до версии 32.7.4.0 или более новой. При этом подробного описания рисков и публичного разъяснения механизма атаки пока не появилось.
ImunifyAV является частью Imunify360 и широко используется провайдерами веб-хостинга и в стандартных сценариях общего Linux-хостинга. Обычно такой инструмент разворачивается на уровне хостинговой платформы: администраторы включают его в панели управления, а владельцы сайтов зачастую даже не подозревают, что он работает в фоновом режиме. По данным Imunify на октябрь 2024 года, защитный пакет присутствует примерно на 56 миллионах сайтов, а число установок Imunify360 превышает 645 тысяч. Продукт особенно распространён на тарифах общего хостинга, в управляемых WordPress-платформах, а также на серверах с cPanel/WHM и Plesk.
Основная причина уязвимости — логика обработки обфусцированных PHP-файлов в AI-Bolit. Во время разборки подозрительного скрипта модуль не ограничивается анализом, а способен выполнять имена функций и данные, извлечённые из проверяемого файла. Это происходит из-за использования конструкции call_user_func_array без проверки допустимости вызываемой функции. В результате злоумышленник может подставить в подготовленный файл имена потенциально опасных PHP-функций — system, exec, shell_exec, passthru, eval и других — и добиться их выполнения.
Patchstack указывает, что атака возможна только при активной деобфускации на этапе анализа. В отдельной консольной утилите AI-Bolit CLI эта опция выключена по умолчанию. Но в составе Imunify360 расширенная разборка включена принудительно для всех типов проверок — фоновых, по расписанию, по запросу пользователя и ускоренных сканов. Такая конфигурация полностью удовлетворяет условиям эксплуатации уязвимости и делает атаку незаметной для администратора.
Исследователи опубликовали демонстрационный эксплойт , который создаёт специально подготовленный PHP-файл во временном каталоге. Если антивирус сталкивается с ним во время проверки, запускается цепочка действий, приводящая к удалённому выполнению кода. По оценке Patchstack, это позволяет атакующему полностью скомпрометировать сайт, а при запуске сканера с повышенными привилегиями в среде общего хостинга последствия могут доходить до захвата всего сервера.
Исправление, внедрённое CloudLinux, добавляет в AI-Bolit механизм «белого списка»: в процессе деобфускации разрешается запуск только ограниченного набора заранее определённых функций. Все остальные варианты блокируются, что предотвращает вызов произвольных конструкций вроде system или eval. В результате неконтролируемый вызов через call_user_func_array становится невозможным.
При этом вокруг ситуации остаётся информационный вакуум. У уязвимости до сих пор нет CVE-идентификатора, отсутствуют методики проверки уже скомпрометированных систем, нет рекомендаций по поиску следов атаки. Также пока не сообщалось о зафиксированных попытках эксплуатации. Издание BleepingComputer направило запрос в CloudLinux с просьбой прокомментировать инцидент, но на момент публикации ответа не получило.
Администраторам инфраструктур, где используется ImunifyAV, ImunifyAV+ или Imunify360 с модулем AI-Bolit, по сути остаётся единственный надёжный вариант — обновиться до версии 32.7.4.0 или новее. Без этого инструмент, который должен защищать сайты от вредоносных файлов, сам превращается в удобную точку входа для атак.
- Источник новости
- www.securitylab.ru
