Una sola brecha compromete a 56 millones de sitios: con un único archivo se puede tomar el control del servidor si está instalado el antivirus ImunifyAV.
Doctor AI‑Bolit: ¡socorro, mi web está caída!
En el ecosistema de hosting Linux se ha descubierto una vulnerabilidad: el escáner de código malicioso ImunifyAV resultó ser susceptible a ejecución remota de código (RCE). El problema afecta al componente AI-Bolit, integrado en Imunify360, al ImunifyAV+ de pago y al ImunifyAV gratuito. La corrección apareció a finales de octubre; sin embargo, hasta ahora la vulnerabilidad no tiene asignado un identificador y no existen recomendaciones para comprobar indicios de intrusión.
La información sobre el fallo fue publicada por Patchstack. Según la compañía, el defecto está en la lógica de desempaquetado de archivos PHP ofuscados, que se utiliza al analizar contenido sospechoso. AI-Bolit invocaba funciones PHP extraídas de archivos ofuscados sin comprobar la validez de esas llamadas. Debido al uso de la construcción call_user_func_array sin filtrar los nombres, se producían llamadas a funciones arbitrarias de nivel system, exec, shell_exec, passthru, eval y otras. Como resultado, se creaba en el servidor una puerta para ataques complejos, capaces de dar lugar a la toma de control del sitio y, si el escáner contaba con privilegios ampliados, al control potencial de toda la máquina.
Aunque en la versión independiente de AI-Bolit la función de deobfuscación activa está deshabilitada, la integración del escáner en Imunify360 la habilita de forma obligatoria. Esto se aplica al análisis en segundo plano, a las comprobaciones bajo demanda, a ejecuciones iniciadas por usuarios y a los escaneos acelerados, lo que crea las condiciones necesarias para su explotación. Patchstack demostró un ejemplo funcional: basta con crear un archivo PHP preparado de antemano en un directorio temporal, tras lo cual, al procesar ese objeto, el escáner ejecutará el comando malicioso.
La popularidad de ImunifyAV amplifica el problema: la solución está integrada en el panel cPanel/WHM, se utiliza activamente en servidores Plesk y está presente en cualquier alojamiento típico con protección Imunify360. Según los datos de la compañía correspondientes a octubre de 2024, este conjunto de herramientas opera discretamente tras bambalinas en 56 millones de sitios, y las instalaciones de Imunify360 superan las 645.000.
CloudLinux informó sobre la publicación de correcciones y recomendó a los administradores actualizar a la versión 32.7.4.0, incluyendo las instalaciones antiguas de Imunify360 AV, donde las correcciones fueron incorporadas en el registro de cambios el 10 de noviembre. En la nueva versión se implementó una lista blanca de funciones seguras que prohíbe cualquier ejecución de código PHP ajeno durante el proceso de deobfuscación. No obstante, la compañía aún no ha proporcionado instrucciones para detectar posibles compromisos y no ha confirmado casos de ataques activos.
No esperes a que los hackers te ataquen: ¡suscríbete a nuestro canal y conviértete en una fortaleza impenetrable!