Une grave vulnérabilité d'exécution de code à distance dans Imunify360 AV a été corrigée, affectant un outil de sécurité qui protège environ 56 millions de sites web hébergés sur Linux. Découverte dans la logique de déofusque du produit, cette faille permet aux attaquants d'exécuter des commandes arbitraires et potentiellement de prendre le contrôle des serveurs d'hébergement. CloudLinux a publié un correctif le 21 octobre 2025, bien qu'aucun CVE formel ou avis n'ait suivi.
Imunify360 AV, également connu sous le nom AI-Bolit, est un scanner de malwares largement utilisé pour protéger les sites web contre les menaces. Des chercheurs en sécurité de Patchstack ont identifié une faille critique d'exécution de code à distance (RCE) dans les versions antérieures à 32.7.4.0. La vulnérabilité provient d'une logique de déofusque défectueuse qui analyse le code PHP malveillant, permettant aux attaquants de créer des fichiers codés spécialement qui déclenchent des fonctions nocives lors du scan.
Ces fonctions incluent system(), exec(), shell_exec(), passthru() et eval(), permettant l'exécution de commandes arbitraires. Comme le scanner s'exécute avec des privilèges root par défaut, l'exploitation peut mener à une prise de contrôle totale du serveur. Ce risque est amplifié dans les environnements d'hébergement partagé, où compromettre un site peut accorder l'accès à tous les sites sur le serveur via un mouvement latéral.
Le problème affecte la déofusque activée dans tous les types de scans, y compris en arrière-plan, à la demande et scans rapides de comptes. Deux flux de code spécifiques sont problématiques : le motif Eval-Hex, qui correspond aux noms de fonctions encodés en hexadécimal, et le flux Delta/Ord, qui traite les chaînes via Helpers::executeWrapper sans contrôles de sécurité. Les attaquants utilisent des techniques d'obfuscation avancées, telles que les échappements hexadécimaux, les charges utiles empaquetées, les chaînes base64/gzinflate et les transformations personnalisées, pour éviter la détection initiale jusqu'à ce que la déofusque se produise.
Les détails de la vulnérabilité ont émergé fin octobre 2025, avec des informations d'exploitation circulant à cette époque. CloudLinux l'a corrigée le 21 octobre 2025 et l'a documentée discrètement sur sa page de support Zendesk le 4 novembre 2025. Aucun identifiant CVE n'a été assigné, et l'entreprise n'a pas émis d'avis de sécurité formel. Le score CVSS estimé est de 8.2, soulignant sa gravité. Ceci marque la deuxième RCE critique dans Imunify360, après un incident de 2021 rapporté par Talos Intelligence.
Les fournisseurs d'hébergement sont invités à mettre à jour immédiatement vers la version 32.7.4.0 ou ultérieure et à effectuer des enquêtes forensiques pour détecter les signes de compromission. Si le correctif est retardé, les administrateurs doivent isoler le scanner dans des conteneurs avec des privilèges minimaux et sans accès réseau. Contacter le support CloudLinux est recommandé pour vérification et conseils.