У захисному сканері ImunifyAV для Linux, що постачається в складі Imunify360 і широко використовується хостинг-провайдерами, усунено критичну вразливість віддаленого виконання коду (RCE). Помилка в компоненті AI-bolit дозволяла за певних умов запускати довільні команди на хост-системі. Вендор CloudLinux випустив патч; оновлення до AI-bolit 32.7.4.0 ліквідує проблему.
Масштаб впливу на екосистему Linux-хостингу
ImunifyAV та Imunify360 застосовуються на рівні інфраструктури провайдерів для захисту сайтів на Linux. За офіційною статистикою станом на жовтень 2024 року, продукти Imunify захищають понад 56 млн веб-ресурсів, а кількість інсталяцій Imunify360 перевищує 645 000. Навіть якщо власники сайтів безпосередньо не взаємодіють із сканером, уразливість зачіпає критичні шари платформи, від яких залежать їхні сервіси.
Технічні деталі: деобфускація в AI-bolit і call_user_func_array
Корінь проблеми — логіка деобфускації у версіях AI-bolit до 32.7.4.0. Під час аналізу обфускованих PHP-файлів модуль використовує call_user_func_array без належної перевірки вхідних даних. Це відкривало можливість підміни назв функцій усередині сканованого файлу: у процесі деобфускації сканер міг ненавмисно викликати небезпечні PHP-функції (включно з системними), що призводило до віддаленого виконання коду.
Умови експлуатації та роль конфігурації сканувань
За даними дослідників Patchstack, експлуатація можлива, коли активна деобфускація під час сканування. Для автономного CLI-режиму AI-bolit ця опція типово вимкнена. Натомість у складі Imunify360 деобфускація примусово вмикається для фонового, планового, запитного та швидкого сканування — саме це створювало необхідні умови для атаки без додаткових дій з боку адміністратора.
Таймлайн виправлень від CloudLinux та статус CVE
Про проблему стало відомо наприкінці жовтня 2025 року: CloudLinux оперативно випустила патчі для підтримуваних гілок. 10 листопада оновлення було перенесено й на старі версії Imunify360 AV. У поточному бюлетені безпеки виробник рекомендує негайно оновитися до AI-bolit 32.7.4.0 або новішої версії. На момент публікації ідентифікатор CVE ще не присвоєно.
Ризики для shared-хостингу та наслідки компрометації
У середовищах спільного хостингу сканери часто працюють із підвищеними привілеями, щоб мати доступ до файлових систем усіх акаунтів. За таких умов успішна RCE-атака може призвести до повної компрометації сервера: ескалації прав, доступу до клієнтських даних і встановлення персистентних бекдорів. Дослідники оприлюднили демонстраційний PoC, що підтверджує практичну здійсненність експлуатації, тож вікно атаки слід закрити якнайшвидше.
Рекомендації: оновлення, мінімізація привілеїв і моніторинг
Негайне оновлення: перевірте версії AI-bolit і компонентів ImunifyAV/Imunify360 та встановіть 32.7.4.0 або новішу у всіх середовищах (production, staging, резервні вузли). Переконайтеся, що патч застосовано до всіх інстансів.
Принцип найменших привілеїв: запускайте сканер із мінімально необхідними правами; обмежуйте доступ до системних утиліт і міжкористувацьких просторів. Використовуйте сегрегацію на рівні ОС (ізоляція акаунтів, namespace/cgroup, LVE або аналоги).
Контроль конфігурації: у автономному AI-bolit критично оцініть потребу в деобфускації; у складі Imunify360 покладайтесь на виправлення, оскільки деобфускація вмикається автоматично.
Моніторинг та реагування: увімкніть детальне журналювання сканувань, відстежуйте нетипові виклики PHP-функцій і системні процеси, застосовуйте поведінковий моніторинг. Як тимчасовий захід — за потреби блокуйте небезпечні PHP-функції на рівні php.ini або WAF, якщо це сумісно з додатками.
Уразливості в інструментах безпеки особливо ризиковані, адже ці рішення працюють із підвищеними правами та мають широкий доступ у інфраструктурі. Адміністраторам Linux-хостингів і корпоративних платформ варто терміново оновити ImunifyAV/Imunify360, переглянути модель привілеїв для сканерів і посилити моніторинг. Швидке оновлення, дисципліна керування патчами та багаторівневий захист істотно знижують імовірність компрометації та допомагають підтримувати стійкість сервісів.
