Una vulnerabilidad crítica de ejecución remota de código (RCE) afecta al escáner ImunifyAV para Linux, componente del paquete Imunify360 utilizado masivamente por proveedores de hosting. El fallo reside en AI-bolit y, bajo condiciones específicas, permite ejecutar comandos arbitrarios en el host. CloudLinux ha publicado correcciones y recomienda actualizar a la versión 32.7.4.0 o superior.
Alcance del incidente y quiénes están en riesgo
ImunifyAV e Imunify360 operan a nivel de plataforma para defender sitios en servidores Linux. Según cifras oficiales de octubre de 2024, las soluciones Imunify protegen más de 56 millones de sitios web y existen más de 645 000 instalaciones de Imunify360. Aunque los propietarios de sitios rara vez interactúan directamente con ImunifyAV, la vulnerabilidad impacta la infraestructura crítica que soporta sus aplicaciones.
Vector técnico: deobfuscación de PHP y abuso de call_user_func_array
El origen del fallo está en la lógica de deobfuscación de AI-bolit en versiones anteriores a 32.7.4.0. Durante el análisis de archivos PHP ofuscados, el componente emplea call_user_func_array con validaciones insuficientes de los parámetros. Este comportamiento abre la puerta a la manipulación de nombres de funciones invocadas dentro del archivo escaneado: al “desenredar” el código, el motor puede terminar llamando a funciones peligrosas (por ejemplo, funciones que interactúan con el sistema), habilitando así un escenario de RCE.
Condiciones de explotación y efecto de la configuración
Investigadores de Patchstack señalan que la explotación es factible cuando la deobfuscación está activa durante el escaneo. En modo CLI autónomo de AI-bolit, esta opción está deshabilitada por defecto. Sin embargo, en Imunify360 la deobfuscación se fuerza en escaneos en segundo plano, programados, bajo demanda y “rápidos”, creando el contexto de ejecución necesario para que se materialice la vulnerabilidad.
Cronología, versiones afectadas y parches de CloudLinux
El problema se comunicó a finales de octubre de 2025, cuando CloudLinux liberó parches para las ramas afectadas. El 10 de noviembre, la corrección se retroportó a versiones anteriores de Imunify360 AV. En su boletín de seguridad, el proveedor insta a actualizar inmediatamente a AI-bolit 32.7.4.0 o más reciente. Al momento de redactar este artículo, la vulnerabilidad no cuenta con identificador CVE público.
Impacto en hosting compartido y consecuencias operativas
En entornos de shared hosting, los escáneres suelen ejecutarse con privilegios elevados para abarcar múltiples cuentas. En ese escenario, una RCE exitosa puede derivar en compromiso total del servidor, escalada de privilegios, acceso a datos de clientes y establecimiento de persistencia mediante puertas traseras. La disponibilidad de pruebas de concepto (PoC) por parte de investigadores confirma la explotabilidad práctica y eleva la urgencia del parcheo.
Medidas de mitigación y hardening recomendadas
Actualiza de inmediato: verifica las versiones de AI-bolit e ImunifyAV/Imunify360 e instala 32.7.4.0 o superior en todos los entornos (producción, staging, nodos de respaldo). Prioriza ventanas de mantenimiento breves y verifica la integridad post-parcheo.
Principio de mínimo privilegio: ejecuta el escáner con cuentas restringidas. Aísla cuentas y recursos mediante LVE, namespaces/cgroups o mecanismos equivalentes, y limita el acceso a utilidades del sistema.
Gestión de configuración: si empleas AI-bolit en modo autónomo, evalúa la necesidad de deobfuscación. En Imunify360, confía en el parche, ya que la deobfuscación está forzada por diseño.
Monitoreo y respuesta: habilita logs detallados de escaneo, supervisa invocaciones inusuales de funciones PHP y procesos del sistema, y aplica monitoreo conductual. Como medida temporal, restringe funciones PHP de riesgo en php.ini y refuerza tu WAF, siempre que sea compatible con tus aplicaciones.
Las herramientas defensivas con privilegios elevados representan un objetivo atractivo para atacantes. Mantener ImunifyAV/Imunify360 actualizado, revisar el modelo de privilegios y robustecer la observabilidad reduce significativamente la superficie de ataque. Actúa hoy: aplica el parche, valida tus controles y establece una disciplina de actualización continua para minimizar la probabilidad de compromiso.
