导语:该漏洞的根源在于AI-bolit组件的反混淆逻辑:当工具尝试解包恶意软件以进行扫描时,会执行从混淆PHP文件中提取的、由攻击者控制的函数名和数据。
Linux服务器专用恶意软件扫描工具ImunifyAV存在远程代码执行漏洞,攻击者可利用该漏洞入侵主机环境。这款工具目前已被数千万个网站采用。
该漏洞影响AI-bolit恶意软件扫描组件的32.7.4.0版本之前的所有版本。该组件集成于Imunify360安全套件、付费版ImunifyAV+,以及免费版恶意软件扫描工具ImunifyAV中。
据安全公司Patchstack透露,该漏洞已于10月底被发现,工具开发商CloudLinux当时已发布修复补丁。目前该漏洞尚未分配CVE编号。
11月10日,开发商将该补丁反向移植到旧版本Imunify360 AV中。在最新发布的安全公告中,CloudLinux警告用户该漏洞属于“高危安全漏洞”,建议“尽快”将软件升级至32.7.4.0版本。
工具应用范围广泛
ImunifyAV是Imunify360安全套件的组成部分,主要用于虚拟主机服务商或通用Linux共享主机环境。该产品通常在主机平台层面安装,而非由终端用户直接部署。它在共享主机方案、托管式WordPress主机、cPanel/WHM服务器及Plesk服务器中应用极为普遍。
据Imunify 2024年10月公布的数据,虽然网站管理员很少直接与该工具交互,但它仍是一款无处不在的后台工具,默默为5600万个网站提供防护,且Imunify360的安装量已超过64.5万次。
漏洞成因与利用条件
该漏洞的根源在于AI-bolit组件的反混淆逻辑:当工具尝试解包恶意软件以进行扫描时,会执行从混淆PHP文件中提取的、由攻击者控制的函数名和数据。
这一问题的核心是工具使用了“call_user_func_array”函数,但未对函数名进行验证,导致攻击者可执行system、exec、shell_exec、passthru、eval等危险PHP函数。
Patchstack指出,利用该漏洞的前提是Imunify360 AV在分析环节启用主动反混淆功能——独立版AI-Bolit命令行工具(CLI)的默认配置中,该功能处于禁用状态。
但Imunify360套件中集成的扫描组件,会强制在后台扫描、按需扫描、用户发起扫描及快速扫描中保持“始终开启”反混淆功能,这恰好满足了漏洞利用的条件。
研究人员已公开一个概念验证(PoC)漏洞利用代码:在tmp目录创建一个PHP文件,当杀毒工具扫描该文件时,就会触发远程代码执行。
概念验证利用
这可能导致整个网站被入侵,若扫描工具在共享主机环境中以高权限运行,还可能引发服务器完全被接管的严重后果。
CloudLinux的修复方案新增了白名单机制,仅允许安全、确定的函数在反混淆过程中执行,从而阻止任意函数调用。
尽管开发商未发布明确警告,也未分配便于预警和追踪的CVE编号,但系统管理员仍应将软件升级至32.7.4.0版本或更高版本。
目前,官方尚未提供漏洞入侵检测方法、检测指南,也未确认该漏洞是否已被在野利用。随后,Patchstack研究人员经进一步检测发现,该漏洞的严重程度超出最初预期——存在一种更简易的利用途径,无需上传恶意软件即可发起攻击。
文章来源自:https://www.bleepingcomputer.com/news/security/rce-flaw-in-imunifyav-puts-millions-of-linux-hosted-sites-at-risk/如若转载,请注明原文地址
