Imunify360 AV における深刻なリモートコード実行の脆弱性が修正されました。この脆弱性は、約 5,600 万の Linux ホストされたウェブサイトを保護するセキュリティツールに影響を及ぼします。製品のデオブフスケーション・ロジックで発見されたこの欠陥は、攻撃者が任意のコマンドを実行し、ホスティングサーバーの制御を潜在的に奪うことを可能にします。CloudLinux は 2025 年 10 月 21 日に修正をリリースしましたが、正式な CVE やアドバイザリは発行されませんでした。
Imunify360 AV(別名 AI-Bolit)は、ウェブサイトを脅威から守るために広く使用されるマルウェアスキャナーです。Patchstack のセキュリティ研究者らが、バージョン 32.7.4.0 以前のバージョンに深刻なリモートコード実行(RCE)の欠陥を発見しました。この脆弱性は、悪意のある PHP コードを分析する欠陥のあるデオブフスケーション・ロジックに起因し、攻撃者がスキャン中に有害な関数をトリガーする特別にエンコードされたファイルを作成できるようにします。
これらの関数には system()、exec()、shell_exec()、passthru()、eval() が含まれており、任意のコマンド実行を可能にします。スキャナーはデフォルトで root 特権で実行されるため、悪用されるとサーバーの完全な乗っ取りにつながります。このリスクは共有ホスティング環境で増大し、1 つのウェブサイトの侵害がサーバー上のすべてのサイトへのアクセスを横方向移動により可能にします。
この問題は、バックグラウンド、オンデマンド、迅速なアカウントスキャンを含むすべてのスキャンタイプで有効化されたデオブフスケーションに影響します。問題のある 2 つの特定のコードフローは、16 進エンコードされた関数名に一致する Eval-Hex パターンと、安全チェックなしで Helpers::executeWrapper を介して文字列を処理する Delta/Ord フローです。攻撃者は、16 進エスケープ、パックされたペイロード、base64/gzinflate チェーン、カスタム変換などの高度なオブフスケーション技法を使用して、初期検知を回避し、デオブフスケーションが発生するまで待ちます。
脆弱性の詳細は 2025 年 10 月下旬に明らかになり、その頃に悪用情報が流通しました。CloudLinux は 2025 年 10 月 21 日に修正を適用し、2025 年 11 月 4 日に Zendesk サポートページで静かに文書化しました。CVE 識別子は割り当てられておらず、同社は正式なセキュリティアドバイザリを発行していません。推定 CVSS スコアは 8.2 で、その深刻さを強調しています。これは Imunify360 における 2 番目の深刻な RCE で、2021 年に Talos Intelligence が報告した事件に続きます。
ホスティングプロバイダーは、直ちにバージョン 32.7.4.0 以降にアップグレードし、侵害の兆候を探るフォレンジック調査を実施するよう促されます。パッチ適用が遅れる場合、管理者は最小特権でネットワークアクセスなしのコンテナにスキャナーを隔離すべきです。CloudLinux サポートへの連絡を検証とガイダンスのために推奨します。