Un bug nell’Antivirus ImunifyAV porta alla RCE.

cybersecurity@poliverso.org

Un bug nell’Antivirus ImunifyAV porta alla RCE. Sono 56 milioni i siti a rischio

È stata scoperta una vulnerabilità nell’ecosistema di hosting Linux: lo scanner malware ImunifyAV è risultato vulnerabile all’esecuzione di codice remoto ( RCE ).

Il problema riguarda il componente AI-Bolit integrato in Imunify360, nella versione a pagamento ImunifyAV+ e nella versione gratuita ImunifyAV. Una correzione è stata rilasciata a fine ottobre, ma la vulnerabilità non è ancora stata identificata e non ci sono raccomandazioni per la scansione alla ricerca di segni di hacking.

Patchstack ha pubblicato informazioni sulla falla in questione. Secondo l’azienda, la falla risiede nella logica utilizzata per decomprimere i file PHP offuscati durante l’analisi di contenuti sospetti. AI-Bolit ha richiamato le funzioni PHP estratte dai file offuscati senza verificarne la validità. Grazie all’utilizzo del costrutto call_user_func_array senza filtraggio dei nomi, sono state eseguite funzioni arbitrarie a livello di sistema, exec, shell_exec, passthru, eval e altri. Ciò ha creato una piattaforma sul server per attacchi sofisticati in grado di prendere il controllo del sito web e, con privilegi di scansione avanzati, di ottenere il potenziale controllo sull’intera macchina.

Sebbene la deoffuscamento attivo sia disabilitata nella versione standalone di AI-Bolit, l’integrazione dello scanner con Imunify360 la abilita. Questo vale per l’analisi in background, la scansione su richiesta, le scansioni definite dall’utente e le scansioni accelerate, creando le condizioni necessarie per lo sfruttamento. Patchstack ha mostrato un esempio funzionante: è sufficiente creare un file PHP pre-impostato in una directory temporanea. Dopo aver analizzato questo oggetto, lo scanner eseguirà un comando dannoso.

La popolarità di ImunifyAV rende il problema diffuso: la soluzione è integrata nel pannello cPanel/WHM, è utilizzata attivamente nelle installazioni server ed è presente su qualsiasi hosting standard con protezione Imunify360. Secondo i dati dell’azienda di ottobre 2024 , questa suite di strumenti opera silenziosamente dietro le quinte su 56 milioni di siti web e il numero di installazioni di Imunify360 supera le 645.000.

CloudLinux ha annunciato il rilascio delle patch e ha raccomandato agli amministratori di eseguire l’aggiornamento alla versione 32.7.4.0, incluse le vecchie installazioni di Imunify360 AV, a cui le patch sono state migrate il 10 novembre.

La nuova versione implementa una whitelist di funzioni sicure che impedisce l’esecuzione di codice PHP non autorizzato durante il processo di deoffuscamento. Ciononostante, l’azienda non ha ancora fornito istruzioni per l’identificazione di possibili compromissioni né ha confermato la presenza di attacchi attivi.

L'articolo Un bug nell’Antivirus ImunifyAV porta alla RCE. Sono 56 milioni i siti a rischio proviene da Red Hot Cyber.

Citiverse

Navigazione

Account

Navigazione

Account

Un bug nell’Antivirus ImunifyAV porta alla RCE.

si parla tanto di obsolescenza programmata.

Studenti in corteo a #Milano per scuola, Palestina e clima.

CGIL, Ambrogino d'Oro è riconoscimento a tutto il sindacato

ACCORDI & DISACCORDISabato 15 novembre su Nove

Il buco nero degli aiuti all'Ucraina.

SmartApeSG: the persistent evolution of a ClickFix-based RAT campaign #CyberSecurity https://securebulletin.com/smartapesg-the-persistent-evolution-of-a-clickfix-based-rat-campaign/

The Cyber Police Department of Ukraine sent this email to me, @zackwhittaker, and some other cyber journalists.

Il sabotaggio Nordstream.