北京
Linux服務(wù)器專用惡意軟件掃描工具ImunifyAV存在遠(yuǎn)程代碼執(zhí)行漏洞,攻擊者可利用該漏洞入侵主機(jī)環(huán)境。這款工具目前已被數(shù)千萬個(gè)網(wǎng)站采用。
該漏洞影響AI-bolit惡意軟件掃描組件的32.7.4.0版本之前的所有版本。該組件集成于Imunify360安全套件、付費(fèi)版ImunifyAV+,以及免費(fèi)版惡意軟件掃描工具ImunifyAV中。
據(jù)安全公司Patchstack透露,該漏洞已于10月底被發(fā)現(xiàn),工具開發(fā)商CloudLinux當(dāng)時(shí)已發(fā)布修復(fù)補(bǔ)丁。目前該漏洞尚未分配CVE編號(hào)。
11月10日,開發(fā)商將該補(bǔ)丁反向移植到舊版本Imunify360 AV中。在最新發(fā)布的安全公告中,CloudLinux警告用戶該漏洞屬于“高危安全漏洞”,建議“盡快”將軟件升級(jí)至32.7.4.0版本。
工具應(yīng)用范圍廣泛
ImunifyAV是Imunify360安全套件的組成部分,主要用于虛擬主機(jī)服務(wù)商或通用Linux共享主機(jī)環(huán)境。該產(chǎn)品通常在主機(jī)平臺(tái)層面安裝,而非由終端用戶直接部署。它在共享主機(jī)方案、托管式WordPress主機(jī)、cPanel/WHM服務(wù)器及Plesk服務(wù)器中應(yīng)用極為普遍。
據(jù)Imunify 2024年10月公布的數(shù)據(jù),雖然網(wǎng)站管理員很少直接與該工具交互,但它仍是一款無處不在的后臺(tái)工具,默默為5600萬個(gè)網(wǎng)站提供防護(hù),且Imunify360的安裝量已超過64.5萬次。
漏洞成因與利用條件
該漏洞的根源在于AI-bolit組件的反混淆邏輯:當(dāng)工具嘗試解包惡意軟件以進(jìn)行掃描時(shí),會(huì)執(zhí)行從混淆PHP文件中提取的、由攻擊者控制的函數(shù)名和數(shù)據(jù)。
這一問題的核心是工具使用了“call_user_func_array”函數(shù),但未對(duì)函數(shù)名進(jìn)行驗(yàn)證,導(dǎo)致攻擊者可執(zhí)行system、exec、shell_exec、passthru、eval等危險(xiǎn)PHP函數(shù)。
Patchstack指出,利用該漏洞的前提是Imunify360 AV在分析環(huán)節(jié)啟用主動(dòng)反混淆功能——獨(dú)立版AI-Bolit命令行工具(CLI)的默認(rèn)配置中,該功能處于禁用狀態(tài)。
但I(xiàn)munify360套件中集成的掃描組件,會(huì)強(qiáng)制在后臺(tái)掃描、按需掃描、用戶發(fā)起掃描及快速掃描中保持“始終開啟”反混淆功能,這恰好滿足了漏洞利用的條件。
研究人員已公開一個(gè)概念驗(yàn)證(PoC)漏洞利用代碼:在tmp目錄創(chuàng)建一個(gè)PHP文件,當(dāng)殺毒工具掃描該文件時(shí),就會(huì)觸發(fā)遠(yuǎn)程代碼執(zhí)行。
概念驗(yàn)證利用
這可能導(dǎo)致整個(gè)網(wǎng)站被入侵,若掃描工具在共享主機(jī)環(huán)境中以高權(quán)限運(yùn)行,還可能引發(fā)服務(wù)器完全被接管的嚴(yán)重后果。
CloudLinux的修復(fù)方案新增了白名單機(jī)制,僅允許安全、確定的函數(shù)在反混淆過程中執(zhí)行,從而阻止任意函數(shù)調(diào)用。
盡管開發(fā)商未發(fā)布明確警告,也未分配便于預(yù)警和追蹤的CVE編號(hào),但系統(tǒng)管理員仍應(yīng)將軟件升級(jí)至32.7.4.0版本或更高版本。
目前,官方尚未提供漏洞入侵檢測(cè)方法、檢測(cè)指南,也未確認(rèn)該漏洞是否已被在野利用。隨后,Patchstack研究人員經(jīng)進(jìn)一步檢測(cè)發(fā)現(xiàn),該漏洞的嚴(yán)重程度超出最初預(yù)期——存在一種更簡易的利用途徑,無需上傳惡意軟件即可發(fā)起攻擊。
參考及來源:https://www.bleepingcomputer.com/news/security/rce-flaw-in-imunifyav-puts-millions-of-linux-hosted-sites-at-risk/
特別聲明:以上內(nèi)容(如有圖片或視頻亦包括在內(nèi))為自媒體平臺(tái)“網(wǎng)易號(hào)”用戶上傳并發(fā)布,本平臺(tái)僅提供信息存儲(chǔ)服務(wù)。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
