CloudLinux hat eine kritische Schwachstelle zur Remote-Code-Ausführung (RCE) im Linux-Malware-Scanner ImunifyAV behoben, der Bestandteil von Imunify360 ist und in der Hosting-Branche breit eingesetzt wird. Die Schwachstelle steckt im Komponentenmodul AI-bolit und erlaubt unter bestimmten Bedingungen die Ausführung beliebiger Befehle auf der Host-Maschine. Das Update auf AI-bolit 32.7.4.0 beseitigt das Problem.
Verbreitung und potenzielle Auswirkungen auf Linux-Hosting
ImunifyAV und Imunify360 werden auf Infrastrukturebene eingesetzt, um Linux-basierte Websites und Accounts zu schützen. Nach offiziellen Angaben schützen die Imunify-Produkte Stand Oktober 2024 über 56 Millionen Webseiten, und Imunify360 zählt mehr als 645.000 Installationen. Selbst wenn Website-Betreiber selten direkt mit Imunify interagieren, ist ihre Verfügbarkeit und Integrität von dieser Schutzschicht abhängig.
Technische Einordnung: wie Deobfuskation zur RCE führt
Die Ursache liegt in der Deobfuskationslogik von AI-bolit vor Version 32.7.4.0. Während der Analyse obfuskierter PHP-Dateien verwendet das Modul call_user_func_array mit unzureichender Eingangsvalidierung. Dadurch lassen sich Funktionsnamen aus dem zu prüfenden Code manipulieren. Im Ergebnis kann der Scanner im Zuge der Deobfuskation unbeabsichtigt gefährliche PHP-Funktionen aufrufen (etwa systemnahe Funktionen), was eine Remote-Code-Execution ermöglicht.
Exploit-Voraussetzungen und Einfluss der Konfiguration
Laut den Forschern von Patchstack ist die Ausnutzung möglich, wenn AI-bolit aktiv deobfuskiert. Im eigenständigen CLI-Modus ist diese Option standardmäßig deaktiviert. In Imunify360 hingegen wird die Deobfuskation für Hintergrund-, geplante, bedarfsorientierte und Schnellscans erzwungen. Genau diese Voreinstellung schafft die Bedingungen, unter denen die Schwachstelle praktisch angreifbar ist.
Timeline, Patches und Update-Empfehlung von CloudLinux
CloudLinux veröffentlichte Ende Oktober 2025 Korrekturen für betroffene Zweige und rollte am 10. November das Fix auch auf ältere Imunify360-AV-Versionen zurück. Der aktuelle Sicherheitshinweis empfiehlt, unverzüglich auf AI-bolit 32.7.4.0 oder neuer zu aktualisieren. Ein CVE-Identifier ist zum Zeitpunkt der Veröffentlichung noch nicht zugewiesen.
Risikobewertung für Shared Hosting und mögliche Folgen
In Shared-Hosting-Umgebungen laufen Scanner häufig mit erhöhten Rechten, um alle Kundenkonten prüfen zu können. Ein erfolgreicher Exploit kann daher zu einer vollständigen Serverkompromittierung führen, inklusive Rechteausweitung, Zugriff auf Mandantendaten und dauerhaften Backdoors. Ein öffentlich verfügbares Proof-of-Concept unterstreicht die praktische Ausnutzbarkeit und erhöht den Zeitdruck, Sicherheitsupdates umgehend einzuspielen.
Empfohlene Maßnahmen: Patch-Management, Härtung und Monitoring
Sofortiges Update: Prüfen Sie die eingesetzten Versionen von AI-bolit und ImunifyAV/Imunify360 und aktualisieren Sie auf 32.7.4.0 oder neuer. Stellen Sie sicher, dass alle Umgebungen (Produktion, Staging, Backup-Knoten) mit dem Fix versorgt sind.
Prinzip der minimalen Rechte: Führen Sie den Scanner mit geringstmöglichen Privilegien aus. Begrenzen Sie den Zugriff auf Systemwerkzeuge und Cross-Account-Bereiche. Nutzen Sie Betriebssystem-Isolation (Namespaces/cgroups), LVE oder gleichwertige Mandantentrennung.
Konfigurationskontrolle: Im Standalone-Einsatz von AI-bolit sollten Sie die Notwendigkeit der Deobfuskation kritisch prüfen. In Imunify360 ist die Deobfuskation erzwungen; verlassen Sie sich hier auf den Patch-Stand.
Monitoring und Reaktion: Aktivieren Sie detailliertes Logging der Scans, beobachten Sie ungewöhnliche PHP-Funktionsaufrufe und systemnahe Prozesse und setzen Sie verhaltensbasierte Erkennung ein. Übergangsweise kann das Deaktivieren riskanter PHP-Funktionen (php.ini, WAF) helfen, soweit es mit den Anwendungen kompatibel ist.
Schwachstellen in Sicherheitsprodukten sind besonders kritisch, weil diese Werkzeuge mit weitreichenden Rechten und Zugang zur gesamten Plattform arbeiten. Betreiber von Linux-Hosting und Unternehmensumgebungen sollten ImunifyAV/Imunify360 zügig aktualisieren, Privilegienmodelle für Scanner straffen und das Monitoring ausbauen. Konsequentes Patch-Management und mehrschichtige Abwehr senken das Risiko einer Kompromittierung nachhaltig.
