Linux サーバー向けマルウェアスキャナーの ImunifyAV は、数千万のウェブサイトで利用されていますが、ホスティング環境を侵害するために悪用される可能性のあるリモートコード実行(RCE)の脆弱性を抱えています。
この問題は、AI-bolit マルウェアスキャンコンポーネントの 32.7.4.0 より前のバージョンに影響します。このコンポーネントは、Imunify360 スイート、有料版の ImunifyAV+、およびマルウェアスキャナーの無償版である ImunifyAV に含まれています。
セキュリティ企業 Patchstack によると、この脆弱性は 10 月下旬から知られており、その時点で ImunifyAV のベンダーである CloudLinux が修正をリリースしました。現在、この欠陥には識別子は割り当てられていません。
11 月 10 日、ベンダーは古い Imunify360 AV バージョンに対して修正をバックポートし ました。昨日公開された勧告の中で、CloudLinux は顧客に対し「重大なセキュリティ脆弱性」について警告し、ソフトウェアを「できるだけ早く」バージョン 32.7.4.0 にアップデートするよう推奨しました。
ImunifyAV は Imunify360 セキュリティスイートの一部であり、主にウェブホスティングプロバイダーや一般的な Linux 共有ホスティング環境で利用されています。
この製品は通常、エンドユーザーが直接インストールするのではなく、ホスティングプラットフォームのレベルで導入されます。共有ホスティングプラン、マネージド WordPress ホスティング、cPanel/WHM サーバー、Plesk サーバーなどで非常に一般的です。
ウェブサイト所有者が直接操作することはほとんどありませんが、2024 年 10 月の Imunify のデータ によると、5,600 万のウェブサイトの裏側で静かに動作するユビキタスなツールであり、Imunify360 のインストール数は 64万5,000 件以上とされています。
この欠陥の根本原因は、AI-bolit の難読化解除ロジックにあり、マルウェアを展開してスキャンしようとする際に、難読化された PHP ファイルから抽出した攻撃者制御の関数名やデータを実行してしまう点にあります。
これは、ツールが関数名を検証せずに「call_user_func_array」を使用しているために発生し、system、exec、shell_exec、passthru、eval などの危険な PHP 関数を実行できてしまいます。
Patchstack は、この脆弱性を悪用するには、解析ステップ中に Imunify360 AV がアクティブな難読化解除を実行している必要があると指摘していますが、これはスタンドアロン版 AI-Bolit CLI のデフォルト設定では無効になっています。
しかし、スキャナーコンポーネントの Imunify360 への統合では、バックグラウンドスキャン、オンデマンドスキャン、ユーザー起動スキャン、迅速スキャンに対して「常時オン」の状態を強制しており、これが悪用条件を満たしています。
研究者らは PoC(概念実証)エクスプロイトを公開しており、tmp ディレクトリに PHP ファイルを作成し、それがアンチウイルスによってスキャンされるとリモートコード実行が引き起こされます。
.png)
出典: Patchstack
これによりウェブサイト全体の侵害が可能となり、共有ホスティング環境でスキャナーが昇格権限で動作している場合、その影響はサーバー全体の乗っ取りにまで及ぶ可能性があります。
CloudLinux の修正では、難読化解除中に実行を許可する関数を安全で決定論的なものに限定するホワイトリストメカニズムが追加され、任意の関数実行がブロックされます。
ベンダーからの明確な警告や、警戒喚起や問題追跡に役立つ CVE-ID が存在しないにもかかわらず、システム管理者は v32.7.4.0 以降のバージョンへアップグレードすべきです。
現時点では、侵害の有無を確認する公式な手順や、検出ガイダンス、実際に悪用が行われているという確認情報はありません。
BleepingComputer はコメントを求めて CloudLinux に連絡しましたが、公開時点までに回答は得られていません。
