Falha em scanner Imunify360 AV permite execução remota de código em hosts compartilhados
Pesquisadores do Patchstack encontraram uma vulnerabilidade de Remote Code Execution (RCE) na lógica de deobfuscação do Imunify360 AV (também referido como AI‑Bolit). A falha pode permitir que um arquivo PHP especialmente codificado seja analisado de forma que funções perigosas — como system(), exec() ou eval() — sejam executadas durante o processo de análise.
Descoberta e escopo
O problema afeta a componente Imunify360 AV usada por provedores de hospedagem e, de acordo com o reporte publicado pelo Cyber Security News, o produto protege aproximadamente 56 milhões de websites. A vulnerabilidade existe em versões anteriores à v32.7.4.0; a CloudLinux liberou correção em 21 de outubro de 2025 e a versão corrigida é a v32.7.4.0 ou superior.
Abordagem técnica e vetor de exploração
Segundo a análise do Patchstack reproduzida nas reportagens, a falha está na rotina automática de deobfuscação do scanner. Em configuração padrão a deobfuscação fica habilitada para todos os tipos de varredura (background, on‑demand, rapid account scans), de modo que qualquer arquivo PHP malformado submetido ao scanner pode ser interpretado de forma a disparar execução de código.
Como o serviço de scanner frequentemente é executado com privilégios elevados (em muitos casos com root), a exploração bem‑sucedida pode levar à elevação de privilégios e à tomada completa do servidor, com potencial para comprometer todos os sites hospedados no mesmo ambiente compartilhado.
Impacto e setores afetados
- Escala: estimativa de até ~56 milhões de websites protegidos pelo produto.
- Ambiente crítico: provedores de hospedagem compartilhada são os mais expostos, pela possibilidade de movimento lateral entre contas.
- Consequência: execução remota de código com potencial de takeover do servidor (root) se explorada.
Mitigações e recomendações
A CloudLinux disponibilizou patch em 21/10/2025. Patchstack recomenda que provedores de hospedagem atualizem imediatamente para Imunify360 AV v32.7.4.0 ou superior e conduzam verificações forenses para identificar sinais de exploração prévia. A própria matéria ressalta que, apesar do patch, a CloudLinux não havia emitido um CVE formal ou advisory detalhado no momento do relato, e que informações sobre exploração pública começaram a circular desde o fim de outubro.
Limites das informações
As fontes não apontam um CVE específico nem divulgam indicadores de compromisso padronizados pelos fornecedores. Também não há dados públicos verificados sobre exploração em larga escala ou incidentes confirmados de takeover associados à falha além das recomendações de investigação forense.
Próximos passos para equipes de infraestrutura
- Aplicar atualização para v32.7.4.0+ sem atraso.
- Realizar varredura forense em servidores compartilhados para detecção de web shells, contas novas suspeitas, cronjobs ou binários não autorizados.
- Rever políticas de execução de scanners com privilégios elevados; minimizar contexto de execução quando possível.
Fonte: Cyber Security News (relato baseado em análise Patchstack e comunicado de patch da CloudLinux)