Uma grave vulnerabilidade de execução remota de código no Imunify360 AV foi corrigida, afetando uma ferramenta de segurança que protege cerca de 56 milhões de sites hospedados em Linux. Descoberta na lógica de desofuscação do produto, a falha permite que atacantes executem comandos arbitrários e potencialmente assumam o controle de servidores de hospedagem. A CloudLinux lançou uma correção em 21 de outubro de 2025, embora nenhum CVE formal ou aviso tenha seguido.
O Imunify360 AV, também conhecido como AI-Bolit, é um scanner de malware amplamente utilizado para proteger sites contra ameaças. Pesquisadores de segurança da Patchstack identificaram uma falha crítica de execução remota de código (RCE) em versões anteriores à 32.7.4.0. A vulnerabilidade decorre de uma lógica de desofuscação defeituosa que analisa código PHP malicioso, permitindo que atacantes criem arquivos codificados especialmente que ativam funções prejudiciais durante a varredura.
Essas funções incluem system(), exec(), shell_exec(), passthru() e eval(), permitindo a execução de comandos arbitrários. Como o scanner executa com privilégios de root por padrão, a exploração pode levar à tomada total do servidor. Esse risco é amplificado em ambientes de hospedagem compartilhada, onde comprometer um site pode conceder acesso a todos os sites no servidor por meio de movimento lateral.
O problema afeta a desofuscação ativada em todos os tipos de varredura, incluindo em segundo plano, sob demanda e varreduras rápidas de contas. Dois fluxos de código específicos são problemáticos: o padrão Eval-Hex, que corresponde a nomes de funções codificados em hexadecimal, e o fluxo Delta/Ord, que processa strings via Helpers::executeWrapper sem verificações de segurança. Atacantes empregam técnicas avançadas de ofuscação, como escapes hexadecimais, cargas úteis empacotadas, cadeias base64/gzinflate e transformações personalizadas, para evadir a detecção inicial até que a desofuscação ocorra.
Detalhes da vulnerabilidade emergiram no final de outubro de 2025, com informações de exploração circulando por volta dessa época. A CloudLinux a corrigiu em 21 de outubro de 2025 e a documentou discretamente em sua página de suporte Zendesk em 4 de novembro de 2025. Nenhum identificador CVE foi atribuído, e a empresa não emitiu um aviso de segurança formal. A pontuação CVSS estimada é 8.2, destacando sua gravidade. Isso marca a segunda RCE crítica no Imunify360, após um incidente de 2021 relatado pela Talos Intelligence.
Provedores de hospedagem são instados a atualizar imediatamente para a versão 32.7.4.0 ou posterior e realizar investigações forenses em busca de sinais de comprometimento. Se o patching for adiado, administradores devem isolar o scanner em contêineres com privilégios mínimos e sem acesso à rede. Contatar o suporte da CloudLinux é recomendado para verificação e orientação.