Opasan propust u ImunifyAV antivirusu ugrozio 56 miliona web stranica
Otkriven ozbiljan propust u ImunifyAV skeneru koji je ugrozio 56 miliona web stranica. Objavljena zakrpa, ali rizici ostaju.
U ekosistemu Linux hostinga otkrivena je ozbiljna ranjivost koja je sedmicama držala milione web stranica u opasnosti. Propust u antivirusnom skeneru ImunifyAV omogućavao je udaljeno izvršavanje koda (RCE), što napadačima potencijalno daje potpunu kontrolu nad kompromitovanim serverima. Prema podacima kompanije CloudLinux, ImunifyAV i njegove naprednije verzije štite čak 56 miliona web stranica, a Imunify360 je instaliran na više od 645.000 servera.
Ranjivost je pronađena u komponenti AI-Bolit, dijelu softvera zaduženom za analizu sumnjivih PHP datoteka. Problem je nastao zbog načina na koji je alat dešifrirao i obrađivao „zamaskirane“ PHP fajlove. Patchstack, koji je prvi objavio detalje propusta, navodi da AI-Bolit nije provjeravao validnost izdvojenih PHP funkcija, već ih je pozivao direktno, bez filtriranja.
To je omogućilo pozivanje opasnih sistemskih komandi poput exec, shell_exec ili passthru, čime se otvarao put za sofisticirane napade, preuzimanje web stranica pa čak i potpunu kompromitaciju servera.
S obzirom na to da je ImunifyAV integrisan u popularne hosting alate poput cPanel/WHM panela i koristi se na masovnom broju standardnih hosting paketa, stručnjaci upozoravaju da bi posljedice mogle biti dalekosežne. Napad je, prema demonstraciji Patchstacka, bio krajnje jednostavan: dovoljno je bilo kreirati posebno pripremljenu PHP datoteku u privremenom direktoriju, nakon čega bi je skener automatski obradio i izvršio malicioznu komandu.
CloudLinux je krajem oktobra izdao zakrpu, a 10. novembra su ažurirane i starije AV instalacije. Najnovija verzija, 32.7.4.0, uključuje sigurnosnu listu dopuštenih funkcija kako bi spriječila pokretanje neovlaštenog koda tokom analize. Međutim, kompanija još nije pružila preporuke za otkrivanje eventualnih kompromitacija, niti je potvrdila da su napadi zaista zabilježeni.
Stručnjaci savjetuju administratorima da odmah provjere i nadograde svoje instalacije, jer široka rasprostranjenost ovog alata znači da je potencijalni rizik izuzetno visok.
