Vulnerabilitas eksekusi kode jarak jauh yang parah di Imunify360 AV telah ditambal, memengaruhi alat keamanan yang melindungi sekitar 56 juta situs web yang dihosting di Linux. Ditemukan dalam logika deobfuskasi produk, cacat ini memungkinkan penyerang menjalankan perintah sewenang-wenang dan berpotensi mengambil alih server hosting. CloudLinux merilis perbaikan pada 21 Oktober 2025, meskipun tidak ada CVE formal atau pemberitahuan yang mengikuti.
Imunify360 AV, juga dikenal sebagai AI-Bolit, adalah pemindai malware yang banyak digunakan untuk melindungi situs web dari ancaman. Peneliti keamanan dari Patchstack mengidentifikasi cacat eksekusi kode jarak jauh (RCE) kritis pada versi sebelum 32.7.4.0. Vulnerabilitas ini berasal dari logika deobfuskasi yang cacat yang menganalisis kode PHP berbahaya, memungkinkan penyerang membuat file yang dikodekan khusus yang memicu fungsi berbahaya selama pemindaian.
Fungsi-fungsi ini termasuk system(), exec(), shell_exec(), passthru(), dan eval(), yang memungkinkan eksekusi perintah sewenang-wenang. Karena pemindai berjalan dengan hak akses root secara default, eksploitasi dapat menyebabkan pengambilalihan server penuh. Risiko ini semakin meningkat di lingkungan hosting bersama, di mana mengompromikan satu situs web dapat memberikan akses ke semua situs di server melalui pergerakan lateral.
Masalah ini memengaruhi deobfuskasi yang diaktifkan di semua jenis pemindaian, termasuk latar belakang, sesuai permintaan, dan pemindaian akun cepat. Dua alur kode spesifik yang bermasalah: pola Eval-Hex, yang mencocokkan nama fungsi yang dikodekan heksadesimal, dan alur Delta/Ord, yang memproses string melalui Helpers::executeWrapper tanpa pemeriksaan keamanan. Penyerang menggunakan teknik ofusksi canggih, seperti pelarian heksadesimal, muatan terbungkus, rantai base64/gzinflate, dan transformasi khusus, untuk menghindari deteksi awal hingga deobfuskasi terjadi.
Detail vulnerabilitas muncul pada akhir Oktober 2025, dengan informasi eksploitasi yang beredar sekitar waktu itu. CloudLinux menambalnya pada 21 Oktober 2025, dan mendokumentasikannya secara diam-diam di halaman dukungan Zendesk mereka pada 4 November 2025. Tidak ada pengenal CVE yang ditetapkan, dan perusahaan belum mengeluarkan pemberitahuan keamanan formal. Skor CVSS yang diperkirakan adalah 8.2, yang menekankan tingkat keparahannya. Ini menandai RCE kritis kedua di Imunify360, mengikuti insiden 2021 yang dilaporkan oleh Talos Intelligence.
Penyedia hosting didesak untuk segera meningkatkan ke versi 32.7.4.0 atau lebih baru dan melakukan penyelidikan forensik untuk tanda-tanda kompromi. Jika penambalan tertunda, administrator harus mengisolasi pemindai di kontainer dengan hak akses minimal dan tanpa akses jaringan. Menghubungi dukungan CloudLinux direkomendasikan untuk verifikasi dan panduan.