ثغرة خطيرة في Imunify360 AV تكشف 56 مليون موقع عن RCE

Imunify360 AV، المعروف أيضًا باسم AI-Bolit، هو ماسح برمجيات خبيثة يُستخدم على نطاق واسع لحماية المواقع من التهديدات. حدد باحثو الأمان من Patchstack ثغرة تنفيذ كود عن بعد (RCE) حرجة في الإصدارات قبل 32.7.4.0. تنبع الثغرة من منطق إزالة تشويش معيب يحلل كود PHP الضار، مما يمكن المهاجمين من إنشاء ملفات مشفرة خصيصًا تفعل وظائف ضارة أثناء المسح.

تشمل هذه الوظائف system()، exec()، shell_exec()، passthru()، وeval()، مما يسمح بتنفيذ أوامر تعسفية. بما أن الماسح يعمل بامتيازات الجذر افتراضيًا، يمكن أن يؤدي الاستغلال إلى السيطرة الكاملة على الخادم. يزداد هذا الخطر في بيئات الاستضافة المشتركة، حيث يمكن أن يمنح اختراق موقع واحد الوصول إلى جميع المواقع على الخادم من خلال الحركة الجانبية.

يؤثر المشكل في إزالة التشويش المفعلة عبر جميع أنواع المسح، بما في ذلك الخلفية، حسب الطلب، ومسوحات الحسابات السريعة. فلوس كود محددتان مشكوك فيهما: نمط Eval-Hex، الذي يطابق أسماء الوظائف المشفرة بالهيكساديسيمال، وتدفق Delta/Ord، الذي يعالج السلاسل عبر Helpers::executeWrapper بدون فحوصات أمان. يستخدم المهاجمون تقنيات تشويش متقدمة، مثل الهروب الهيكساديسيمال، الحمولات المضغوطة، سلاسل base64/gzinflate، والتحولات المخصصة، لتجنب الكشف الأولي حتى يحدث إزالة التشويش.

ظهرت تفاصيل الثغرة في أواخر أكتوبر 2025، مع تداول معلومات الاستغلال حول ذلك الوقت. قامت CloudLinux بإصلاحها في 21 أكتوبر 2025، ووثقتها بهدوء على صفحة دعم Zendesk في 4 نوفمبر 2025. لم يتم تعيين معرف CVE، ولم تصدر الشركة إشعار أمان رسمي. الدرجة المقدرة لـ CVSS هي 8.2، مما يبرز خطورتها. هذا يمثل الـ RCE الحرجة الثانية في Imunify360، بعد حادثة 2021 أبلغت عنها Talos Intelligence.

يُحث مزودو الاستضافة على الترقية فورًا إلى الإصدار 32.7.4.0 أو أحدث وإجراء تحقيقات جنائية بحثًا عن علامات الاختراق. إذا تأخر التصحيح، يجب على المشرفين عزل الماسح في حاويات بامتيازات دنيا وبدون وصول إلى الشبكة. يُوصى بالاتصال بدعم CloudLinux للتحقق والإرشاد.