Se ha corregido una grave vulnerabilidad de ejecución remota de código en Imunify360 AV, que afecta a una herramienta de seguridad que protege alrededor de 56 millones de sitios web alojados en Linux. Descubierta en la lógica de desofuscación del producto, la falla permite a los atacantes ejecutar comandos arbitrarios y potencialmente tomar el control de los servidores de alojamiento. CloudLinux lanzó una corrección el 21 de octubre de 2025, aunque no siguió un CVE formal ni una advertencia.
Imunify360 AV, también conocido como AI-Bolit, es un escáner de malware ampliamente utilizado para proteger sitios web de amenazas. Investigadores de seguridad de Patchstack identificaron una falla crítica de ejecución remota de código (RCE) en versiones anteriores a la 32.7.4.0. La vulnerabilidad proviene de una lógica de desofuscación defectuosa que analiza código PHP malicioso, permitiendo a los atacantes crear archivos codificados especialmente que activan funciones dañinas durante el escaneo.
Estas funciones incluyen system(), exec(), shell_exec(), passthru() y eval(), lo que permite la ejecución de comandos arbitrarios. Dado que el escáner se ejecuta con privilegios de root por defecto, la explotación puede llevar a la toma total del servidor. Este riesgo se amplifica en entornos de alojamiento compartido, donde comprometer un sitio web podría otorgar acceso a todos los sitios en el servidor mediante movimiento lateral.
El problema afecta a la desofuscación habilitada en todos los tipos de escaneo, incluidos los de fondo, a demanda y escaneos rápidos de cuentas. Dos flujos de código específicos son problemáticos: el patrón Eval-Hex, que coincide con nombres de funciones codificados en hexadecimal, y el flujo Delta/Ord, que procesa cadenas a través de Helpers::executeWrapper sin verificaciones de seguridad. Los atacantes emplean técnicas avanzadas de ofuscación, como escapes hexadecimales, cargas útiles empaquetadas, cadenas base64/gzinflate y transformaciones personalizadas, para evadir la detección inicial hasta que ocurre la desofuscación.
Los detalles de la vulnerabilidad surgieron a finales de octubre de 2025, con información de explotación circulando en ese momento. CloudLinux la corrigió el 21 de octubre de 2025 y la documentó discretamente en su página de soporte Zendesk el 4 de noviembre de 2025. No se ha asignado un identificador CVE, y la empresa no ha emitido una advertencia de seguridad formal. La puntuación CVSS estimada es 8.2, subrayando su gravedad. Esto marca la segunda RCE crítica en Imunify360, siguiendo a un incidente de 2021 reportado por Talos Intelligence.
Se insta a los proveedores de alojamiento a actualizar inmediatamente a la versión 32.7.4.0 o posterior y realizar investigaciones forenses en busca de signos de compromiso. Si se retrasa el parcheo, los administradores deben aislar el escáner en contenedores con privilegios mínimos y sin acceso a la red. Se recomienda contactar al soporte de CloudLinux para verificación y orientación.