В сканере ImunifyAV для Linux, входящем в пакет Imunify360 и широко используемом хостинг-провайдерами, выявлена критическая уязвимость удаленного выполнения кода (RCE). Ошибка затрагивает компонент AI-bolit и при определенных условиях позволяет атакующему выполнить произвольные команды на хост-системе. Вендор CloudLinux выпустил исправление; обновление до версии 32.7.4.0 устраняет проблему.
Кого затрагивает уязвимость и каков масштаб
ImunifyAV и Imunify360 применяются на уровне хостинговых платформ для защиты сайтов под управлением Linux. По официальной статистике на октябрь 2024 года, решения Imunify защищают свыше 56 млн веб-ресурсов, а Imunify360 насчитывает более 645 000 установок. Хотя владельцы сайтов редко взаимодействуют с ImunifyAV напрямую, уязвимость затрагивает инфраструктуру, от которой они зависят.
Техническая суть: как ошибка превращается в RCE
Проблема связана с логикой деобфускации в AI-bolit до версии 32.7.4.0. В процессе анализа обфусцированных PHP-файлов компонент использует call_user_func_array без достаточной валидации входных данных. Это открывает возможность подмены имен вызываемых функций внутри проверяемого файла: при деобфускации сканер может непреднамеренно вызвать опасные PHP-функции (например, системные), что приводит к удаленному выполнению кода.
Условия эксплуатации и роль конфигурации
По данным исследователей Patchstack, эксплуатация возможна, когда AI-bolit активно выполняет деобфускацию во время сканирования. Для автономного CLI-режима AI-bolit эта опция по умолчанию отключена. Однако в составе Imunify360 режим деобфускации принудительно активируется для фоновых, плановых, запросных и быстрых проверок — именно это создает необходимые условия для эксплуатации уязвимости.
Таймлайн и исправления от CloudLinux
О проблеме стало известно в конце октября 2025 года, когда CloudLinux выпустила патчи для затронутых веток. 10 ноября исправление было перенесено и в старые версии Imunify360 AV. В актуальном бюллетене безопасности разработчики рекомендуют как можно скорее обновиться до AI-bolit 32.7.4.0 или новее. На момент публикации уязвимости еще не присвоен идентификатор CVE.
Риски для shared-хостинга и возможные последствия
В средах совместного хостинга сканер нередко работает с повышенными привилегиями, чтобы иметь доступ ко всем аккаунтам. В таком контексте успешная эксплуатация RCE может привести к полной компрометации сервера: эскалации прав, доступу к данным клиентов и установке персистентных бэкдоров. Исследователи опубликовали демонстрационный PoC, подтверждающий практическую реализуемость атаки; детали эксплуатации в публичном домене повышают срочность обновления.
Рекомендации по снижению рисков
Немедленное обновление: проверьте версии AI-bolit и ImunifyAV/Imunify360 и установите 32.7.4.0 или новее. Убедитесь, что исправления применены во всех средах (production, staging, резервные узлы).
Минимизация привилегий: запускайте сканер с принципом наименьших прав. Ограничьте доступ к системным утилитам и межпользовательским пространствам, используйте сегрегацию на уровне ОС (изоляция аккаунтов, namespace/cgroup, LVE или эквиваленты).
Контроль конфигурации: при использовании автономного AI-bolit оценивайте необходимость деобфускации; в составе Imunify360 полагайтесь на патч, поскольку деобфускация включается принудительно.
Мониторинг и реагирование: активируйте журналирование сканирований, отслеживайте необычные вызовы PHP-функций и системных процессов, применяйте поведенческий мониторинг. Временной мерой может стать ограничение выполнения потенциально опасных PHP-функций на уровне php.ini и WAF, если это совместимо с приложениями.
Уязвимости в инструментах защиты особенно опасны, поскольку они работают с повышенными привилегиями и доступны во всей инфраструктуре. Администраторам Linux-хостингов и корпоративных платформ следует оперативно обновить ImunifyAV/Imunify360, пересмотреть модель привилегий для сканеров и усилить мониторинг. Быстрое закрытие окна атаки, дисциплина обновлений и многоуровневая защита остаются ключевыми практиками, снижающими вероятность компрометации.
