Imunify güvenlik ürünlerinin AI-Bolit bileşeninde, web barındırma ve Linux sunucu topluluklarında endişeleri artıran kritik bir güvenlik açığı keşfedildi.
Bu kusur, saldırganların rastgele kod çalıştırmasına ve ayrıcalıklarını root’a yükseltmesine olanak tanıyarak dünya çapındaki milyonlarca sunucunun bütünlüğünü riske atabilir.
Web barındırma sunucularında yaygın olarak kullanılan bir güvenlik platformu olan Imunify, AI-Bolit kötü amaçlı yazılım tarayıcısındaki güvenlik zayıflığına ilişkin bir öneri yayınladı.
Güvenlik açığı, AI-Bolit’in kod gizleme mantığında, özellikle taramalar sırasında potansiyel olarak kötü amaçlı kodları analiz eden işlevlerde bulundu.
Bu güvenlik açığından yararlanılırsa, bir bilgisayar korsanı, tarayıcıyı saldırgan tarafından kontrol edilen PHP işlevlerini çalıştırması için kandıracak kod içeren bir dosya veya veritabanı girişi oluşturabilir.
Etkilenen ürünler arasında Imunify360, ImunifyAV+ ve ImunifyAV, özellikle de 32.7.4-1’den önceki eski sürümler yer alıyor. Bu, birçok web sunucusunun geçici olarak sunucunun tamamen tehlikeye girmesine yol açabilecek saldırılara maruz kalmasına neden oldu.
Güvenlik açığı, araştırmacı Aleksejs Popovs tarafından sorumlu bir açıklama yoluyla Imunify’a bildirildi. Imunify hızlı bir şekilde tepki göstererek 23 Ekim 2025’te bir güvenlik yaması oluşturup yayınladı.
Bu yama, güvenli işlevlerden oluşan sıkı bir izin verilenler listesi sunarak, kod çözücünün saldırganlar tarafından sağlanan potansiyel olarak tehlikeli PHP işlevlerini yürütmesini engelledi.
Imunify sunucularının büyük çoğunluğu, 17 Kasım 2025’e kadar düzeltmeyle otomatik olarak güncellendi.
Şu ana kadar şirket, kusurun kötüye kullanıldığına dair bir kanıt bildirmedi ve müşteriler tarafından herhangi bir şüpheli faaliyet tespit edilmedi.
Teknik Detaylar
Etkilenen sürümlerde, ai-bolit-hoster.php dosyasındaki deobfuscateDeltaOrd ve deobfuscateEvalHexFunc kod çözme işlevleri Helpers::executeWrapper() olarak adlandırıldı.
Bu işlev, taranan dosyalardan dizeleri uygun filtreleme olmadan PHP kodu olarak çalıştırdı ve kapıyı rastgele kod yürütmeye açık bıraktı.
Saldırganlar iki ana vektörden yararlanabilir: dosya taraması ve veritabanı taraması. Yama her ikisini de kapattı.
Tüm kullanıcılar AI-Bolit paketini 32.7.4-1 veya daha yeni bir sürüme yükseltmelidir. CentOS 6 için 32.1.10-2.32.7.4 olarak desteklenen bir düzeltme mevcuttur.
Hemen yükseltme yapamıyorsanız Imunify, yama uygulanana kadar tüm dosya taramalarının (zamanlanmış, gerçek zamanlı, FTP taramaları ve ModSecurity yüklemeleri) kapatılmasını önerir.
Taramayı devre dışı bırakmak için, active_scan_pure_ftpd: False ve scan_modified_files: False gibi yapılandırma seçeneklerini ayarlayabilirsiniz. Alternatif olarak, taramaları yalnızca güvenilir kullanıcılarla sınırlandırın.
Imunify, müşteri güvenliğine öncelik verme sorumluluğunu vurguluyor. Protokolleri, saldırganlara yardım etmekten kaçınmak için kamuya açıklanmadan önce yamaların sessizce dağıtılmasını içerir.
Müşterilerden, gelecekteki tehditlere karşı hızlı koruma sağlamak için otomatik güncellemeleri etkin tutmaları isteniyor.
Imunify, kusuru sorumlu bir şekilde bildirdiği ve ifşa sürecinin koordine edilmesine yardımcı olduğu için Aleksejs Popovs’a teşekkür eder. Bu güvenlik açığına yönelik bir CVE tanımlayıcısı beklemededir.
Bu olay, web barındırma ortamlarında hızlı yama uygulamasının ve güvenlik hijyeninin önemini vurgulamaktadır. AI-Bolit’in kusuru, güncel tutulmaması ve yakından izlenmemesi durumunda güvenlik araçlarının bile risk oluşturabileceğini hatırlatıyor.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak olarak ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.