ImunifyAV曝远程代码执行漏洞 数百万Linux托管网站面临风险

Linux服务器专用恶意软件扫描工具ImunifyAV存在远程代码执行漏洞，攻击者可利用该漏洞入侵主机环境。这款工具目前已被数千万个网站采用。

该漏洞影响AI-bolit恶意软件扫描组件的32.7.4.0版本之前的所有版本。该组件集成于Imunify360安全套件、付费版ImunifyAV+，以及免费版恶意软件扫描工具ImunifyAV中。

据安全公司Patchstack透露，该漏洞已于10月底被发现，工具开发商CloudLinux当时已发布修复补丁。目前该漏洞尚未分配CVE编号。

11月10日，开发商将该补丁反向移植到旧版本Imunify360 AV中。在最新发布的安全公告中，CloudLinux警告用户该漏洞属于“高危安全漏洞”，建议“尽快”将软件升级至32.7.4.0版本。

工具应用范围广泛

ImunifyAV是Imunify360安全套件的组成部分，主要用于虚拟主机服务商或通用Linux共享主机环境。该产品通常在主机平台层面安装，而非由终端用户直接部署。它在共享主机方案、托管式WordPress主机、cPanel/WHM服务器及Plesk服务器中应用极为普遍。

据Imunify 2024年10月公布的数据，虽然网站管理员很少直接与该工具交互，但它仍是一款无处不在的后台工具，默默为5600万个网站提供防护，且Imunify360的安装量已超过64.5万次。

漏洞成因与利用条件

该漏洞的根源在于AI-bolit组件的反混淆逻辑：当工具尝试解包恶意软件以进行扫描时，会执行从混淆PHP文件中提取的、由攻击者控制的函数名和数据。

这一问题的核心是工具使用了“call_user_func_array”函数，但未对函数名进行验证，导致攻击者可执行system、exec、shell_exec、passthru、eval等危险PHP函数。

Patchstack指出，利用该漏洞的前提是Imunify360 AV在分析环节启用主动反混淆功能——独立版AI-Bolit命令行工具（CLI）的默认配置中，该功能处于禁用状态。

但Imunify360套件中集成的扫描组件，会强制在后台扫描、按需扫描、用户发起扫描及快速扫描中保持“始终开启”反混淆功能，这恰好满足了漏洞利用的条件。

研究人员已公开一个概念验证（PoC）漏洞利用代码：在tmp目录创建一个PHP文件，当杀毒工具扫描该文件时，就会触发远程代码执行。

概念验证利用

这可能导致整个网站被入侵，若扫描工具在共享主机环境中以高权限运行，还可能引发服务器完全被接管的严重后果。

CloudLinux的修复方案新增了白名单机制，仅允许安全、确定的函数在反混淆过程中执行，从而阻止任意函数调用。

尽管开发商未发布明确警告，也未分配便于预警和追踪的CVE编号，但系统管理员仍应将软件升级至32.7.4.0版本或更高版本。

目前，官方尚未提供漏洞入侵检测方法、检测指南，也未确认该漏洞是否已被在野利用。随后，Patchstack研究人员经进一步检测发现，该漏洞的严重程度超出最初预期——存在一种更简易的利用途径，无需上传恶意软件即可发起攻击。

参考及来源：https://www.bleepingcomputer.com/news/security/rce-flaw-in-imunifyav-puts-millions-of-linux-hosted-sites-at-risk/