On milyonlarca web sitesi tarafından kullanılan, Linux sunucularına yönelik ImunifyAV kötü amaçlı yazılım tarayıcısı, barındırma ortamını tehlikeye atmak için kullanılabilecek bir uzaktan kod yürütme güvenlik açığına karşı savunmasızdır.
Sorun, AI-bolit kötü amaçlı yazılım tarama bileşeninin 32.7.4.0’dan önceki sürümlerini etkiliyor. Bileşen, Imunify360 paketinde, ücretli ImunifyAV+’da ve kötü amaçlı yazılım tarayıcısının ücretsiz sürümü olan ImunifyAV’da mevcuttur.
Güvenlik firması Patchstack’a göre güvenlik açığı, ImunifyAV’ın satıcısı CloudLinux’un düzeltmeler yayınladığı Ekim ayı sonundan bu yana biliniyor. Şu anda kusura bir tanımlayıcı atanmamıştır.
10 Kasım’da satıcı, düzeltmeyi eski Imunify360 AV sürümlerine destekledi. Dün yayınlanan bir danışma belgesinde CloudLinux, müşterileri “kritik bir güvenlik açığı” konusunda uyardı ve “yazılımı mümkün olan en kısa sürede” 32.7.4.0 sürümüne güncellemelerini önerdi
ImunifyAV, çoğunlukla web barındırma sağlayıcıları veya genel Linux paylaşımlı barındırma ortamları tarafından kullanılan Imunify360 güvenlik paketinin bir parçasıdır.
Ürün genellikle doğrudan son kullanıcılar tarafından değil, barındırma platformu düzeyinde yüklenir. Paylaşılan barındırma planlarında, yönetilen WordPress barındırmada, cPanel/WHM sunucularında ve Plesk sunucularında son derece yaygındır.
Web sitesi sahipleri nadiren doğrudan onunla etkileşime giriyor, ancak Ekim 2024’teki Imunify verilerine göre 645.000’den fazla Imunify360 kurulumunun iddia edildiğine göre, bu hala 56 milyon web sitesinin arkasında sessizce çalışan her yerde bulunan bir araç.
Kusurun temel nedeni, kötü amaçlı yazılımları taramak için paketini açmaya çalışırken, saldırgan tarafından kontrol edilen işlev adlarını ve gizlenmiş PHP dosyalarından çıkarılan verileri çalıştıran AI-bolit’in kod çözme mantığıdır.
Bunun nedeni aracın ‘call_user_func_array‘ işlev adlarını doğrulamadan, system, exec, Shell_exec, passthru, eval ve daha fazlası gibi tehlikeli PHP işlevlerinin yürütülmesine izin verir.
Patchstack, güvenlik açığından yararlanılmasının, Imunify360 AV’nin analiz adımı sırasında bağımsız AI-Bolit CLI’nin varsayılan yapılandırmasında devre dışı bırakılan aktif kod çözme işlemini gerçekleştirmesini gerektirdiğini belirtiyor.
Bununla birlikte, tarayıcı bileşeninin Imunify360 entegrasyonu, arka plan taramaları, isteğe bağlı taramalar, kullanıcı tarafından başlatılan taramalar ve hızlı taramalar için ‘her zaman açık’ durumunu zorluyor ve bu da kullanım gereksinimlerini karşılıyor.
Araştırmacılar, tmp dizininde antivirüs tarafından tarandığında uzaktan kod yürütülmesini tetikleyecek bir PHP dosyası oluşturan bir kavram kanıtı (PoC) istismarını paylaştı.
.png)
Kaynak: Patchstack
Bu, web sitesinin tamamının ele geçirilmesine neden olabilir ve tarayıcı, paylaşılan barındırma kurulumlarında yükseltilmiş ayrıcalıklarla çalışırsa, bunun sonuçları, sunucunun tamamının ele geçirilmesine kadar uzanabilir.
CloudLinux’un düzeltmesi, kod gizleme sırasında yalnızca güvenli, deterministik işlevlerin yürütülmesine izin veren ve rastgele işlev yürütülmesini engelleyen bir beyaz liste mekanizması ekler.
Satıcının alarmı yükseltmeye ve sorunu izlemeye yardımcı olacak net uyarıları veya CVE-ID’si olmamasına rağmen sistem yöneticilerinin v32.7.4.0 veya daha yeni bir sürüme yükseltme yapması gerekir.
Şu anda, güvenlik ihlalinin nasıl kontrol edileceğine dair resmi bir talimat, tespit kılavuzu yok ve vahşi ortamda aktif istismarın doğrulanması yok.
BleepingComputer, yorum talebiyle CloudLinux ile iletişime geçti ancak yayınlanma zamanına göre bir yanıt alamadık.
İster eski anahtarları temizliyor ister yapay zeka tarafından oluşturulan kod için korkuluklar kuruyor olun, bu kılavuz ekibinizin en başından itibaren güvenli bir şekilde geliştirme yapmasına yardımcı olur.
Hile sayfasını alın ve sır yönetimindeki tahminleri ortadan kaldırın.