Uma vulnerabilidade crítica de execução remota de código (RCE) foi descoberta no ImunifyAV, um popular scanner de malware para servidores Linux utilizado por dezenas de milhões de websites. A falha, se explorada, pode permitir que um atacante comprometa totalmente o site e, em ambientes de alojamento partilhado, assuma o controlo total do servidor.
A falha afeta todas as versões do componente de verificação AI-bolit anteriores à 32.7.4.0. Este componente está presente não só na versão gratuita do ImunifyAV, mas também nas suites pagas ImunifyAV+ e Imunify360.
O Risco é Massivo: Dezenas de Milhões Afetados
O ImunifyAV é uma ferramenta omnipresente em ambientes de alojamento web, sendo extremamente comum em servidores que utilizam cPanel/WHM, Plesk e em planos de hosting partilhado ou WordPress gerido.
Embora os proprietários dos sites raramente interajam diretamente com o software, ele está a funcionar silenciosamente em segundo plano. Segundo dados da própria Imunify de outubro de 2024, a ferramenta protege cerca de 56 milhões de websites e conta com mais de 645.000 instalações ativas do Imunify360.
Como Funciona o Ataque
A empresa de segurança Patchstack detalhou a vulnerabilidade, explicando que a raiz do problema reside na lógica de "desofuscação" do AI-bolit. O scanner foi concebido para desembrulhar ficheiros PHP ofuscados (uma técnica comum em malware) para os poder analisar.
No entanto, a ferramenta utiliza a função call_user_func_array sem validar os nomes das funções que está a executar. Isto permite que um atacante crie um ficheiro PHP malicioso que, ao ser analisado, força o scanner a executar comandos perigosos como system, exec ou eval.
Curiosamente, a exploração requer que a "desofuscação ativa" esteja ligada. Embora esta opção venha desligada por defeito no AI-Bolit usado de forma independente, a integração no Imunify360 (a mais comum) força esta definição a estar sempre ligada para todos os tipos de scans, incluindo os de rotina, os manuais e os rápidos.
A equipa da Patchstack demonstrou um simples "Proof of Concept" (PoC): a criação de um ficheiro PHP no diretório /tmp é suficiente para despoletar a execução de código remoto assim que o antivírus o analisa. Num cenário de alojamento partilhado, onde o scanner opera frequentemente com privilégios elevados, isto pode significar o controlo total do servidor.
Correção Disponível, Mas Alerta Foi Lento
A CloudLinux, empresa responsável pelo Imunify, lançou as primeiras correções no final de outubro. A 10 de novembro, adaptou a correção para versões mais antigas do Imunify360 AV.
No entanto, um aviso formal aos clientes só foi emitido ontem, 13 de novembro. A nova versão 32.7.4.0 resolve o problema ao implementar um mecanismo de "lista branca" (whitelisting), que garante que apenas funções seguras e determinísticas podem ser executadas durante o processo de desofuscação.
O que torna a situação mais preocupante é a ausência de um identificador CVE oficial. A falta de um CVE dificulta o rastreio da falha e a sensibilização dos administradores de sistema.
Apesar de ainda não haver confirmação de exploração ativa desta falha, os administradores de servidores Linux que utilizem o Imunify360 devem atualizar o software imediatamente para a versão 32.7.4.0 ou mais recente.
Nenhum comentário
Seja o primeiro!