Linux服務(wù)器專用惡意軟件掃描工具ImunifyAV存在遠(yuǎn)程代碼執(zhí)行漏洞，攻擊者可利用該漏洞入侵主機(jī)環(huán)境。這款工具目前已被數(shù)千萬個(gè)網(wǎng)站采用。

該漏洞影響AI-bolit惡意軟件掃描組件的32.7.4.0版本之前的所有版本。該組件集成于Imunify360安全套件、付費(fèi)版ImunifyAV+，以及免費(fèi)版惡意軟件掃描工具ImunifyAV中。

據(jù)安全公司Patchstack透露，該漏洞已于10月底被發(fā)現(xiàn)，工具開發(fā)商CloudLinux當(dāng)時(shí)已發(fā)布修復(fù)補(bǔ)丁。目前該漏洞尚未分配CVE編號(hào)。

11月10日，開發(fā)商將該補(bǔ)丁反向移植到舊版本Imunify360 AV中。在最新發(fā)布的安全公告中，CloudLinux警告用戶該漏洞屬于“高危安全漏洞”，建議“盡快”將軟件升級(jí)至32.7.4.0版本。

工具應(yīng)用范圍廣泛

ImunifyAV是Imunify360安全套件的組成部分，主要用于虛擬主機(jī)服務(wù)商或通用Linux共享主機(jī)環(huán)境。該產(chǎn)品通常在主機(jī)平臺(tái)層面安裝，而非由終端用戶直接部署。它在共享主機(jī)方案、托管式WordPress主機(jī)、cPanel/WHM服務(wù)器及Plesk服務(wù)器中應(yīng)用極為普遍。

據(jù)Imunify 2024年10月公布的數(shù)據(jù)，雖然網(wǎng)站管理員很少直接與該工具交互，但它仍是一款無處不在的后臺(tái)工具，默默為5600萬個(gè)網(wǎng)站提供防護(hù)，且Imunify360的安裝量已超過64.5萬次。

漏洞成因與利用條件

該漏洞的根源在于AI-bolit組件的反混淆邏輯：當(dāng)工具嘗試解包惡意軟件以進(jìn)行掃描時(shí)，會(huì)執(zhí)行從混淆PHP文件中提取的、由攻擊者控制的函數(shù)名和數(shù)據(jù)。

這一問題的核心是工具使用了“call_user_func_array”函數(shù)，但未對(duì)函數(shù)名進(jìn)行驗(yàn)證，導(dǎo)致攻擊者可執(zhí)行system、exec、shell_exec、passthru、eval等危險(xiǎn)PHP函數(shù)。

Patchstack指出，利用該漏洞的前提是Imunify360 AV在分析環(huán)節(jié)啟用主動(dòng)反混淆功能——獨(dú)立版AI-Bolit命令行工具（CLI）的默認(rèn)配置中，該功能處于禁用狀態(tài)。

但I(xiàn)munify360套件中集成的掃描組件，會(huì)強(qiáng)制在后臺(tái)掃描、按需掃描、用戶發(fā)起掃描及快速掃描中保持“始終開啟”反混淆功能，這恰好滿足了漏洞利用的條件。

研究人員已公開一個(gè)概念驗(yàn)證（PoC）漏洞利用代碼：在tmp目錄創(chuàng)建一個(gè)PHP文件，當(dāng)殺毒工具掃描該文件時(shí)，就會(huì)觸發(fā)遠(yuǎn)程代碼執(zhí)行。

概念驗(yàn)證利用

這可能導(dǎo)致整個(gè)網(wǎng)站被入侵，若掃描工具在共享主機(jī)環(huán)境中以高權(quán)限運(yùn)行，還可能引發(fā)服務(wù)器完全被接管的嚴(yán)重后果。

CloudLinux的修復(fù)方案新增了白名單機(jī)制，僅允許安全、確定的函數(shù)在反混淆過程中執(zhí)行，從而阻止任意函數(shù)調(diào)用。

盡管開發(fā)商未發(fā)布明確警告，也未分配便于預(yù)警和追蹤的CVE編號(hào)，但系統(tǒng)管理員仍應(yīng)將軟件升級(jí)至32.7.4.0版本或更高版本。

目前，官方尚未提供漏洞入侵檢測(cè)方法、檢測(cè)指南，也未確認(rèn)該漏洞是否已被在野利用。隨后，Patchstack研究人員經(jīng)進(jìn)一步檢測(cè)發(fā)現(xiàn)，該漏洞的嚴(yán)重程度超出最初預(yù)期——存在一種更簡易的利用途徑，無需上傳惡意軟件即可發(fā)起攻擊。

參考及來源：https://www.bleepingcomputer.com/news/security/rce-flaw-in-imunifyav-puts-millions-of-linux-hosted-sites-at-risk/