Уязвимость в системе безопасности сервера Imunify360 AV затрагивает до 56 миллионов сайтов

Вирусная угроза для серверов

Необновлённые версии Imunify360 AV подвергают риску захвата всего сервера платформы хостинга, на которых размещено до 56 миллионов веб-сайтов.

Недавно в Imunify360 AV, сканере безопасности, который используют компании, предоставляющие услуги веб-хостинга, для защиты более 56 миллионов веб-сайтов, была обнаружена критическая уязвимость. В рекомендациях компании Patchstack, специализирующейся на кибербезопасности, говорится, что эта уязвимость может позволить злоумышленникам получить полный контроль над сервером и всеми веб-сайтами на нём.

Imunify360 AV

Imunify360 AV — это система сканирования на наличие вредоносного ПО, которую используют несколько хостинговых компаний. Уязвимость была обнаружена в механизме сканирования файлов AI-Bolit и в отдельном модуле сканирования баз данных. Поскольку уязвимы как сканер файлов, так и сканер баз данных, злоумышленники могут получить доступ к серверу двумя способами, что может привести к полному захвату сервера и поставить под угрозу миллионы веб-сайтов.

Patchstack подробная информация о потенциальном воздействии:

«Удалённые злоумышленники могут внедрить специально созданный обфусцированный PHP-код, который соответствует сигнатурам деобфускации imunify360AV (AI-bolit). Деобфускатор будет выполнять извлечённые функции с данными, контролируемыми злоумышленником, что позволит выполнять произвольные системные команды или произвольный PHP-код.

Последствия варьируются от компрометации веб-сайта до полного захвата сервера в зависимости от конфигурации хостинга и привилегий.Обнаружение вредоносного ПО — нетривиальная задача, поскольку вредоносные данные обфусцированы (шестнадцатеричные escape-последовательности, упакованные данные, цепочки base64/gzinflate, пользовательские преобразования delta/ord) и предназначены для деобфускации с помощью самого инструмента.imunify360AV (Ai-Bolit) — это сканер вредоносного ПО, специализирующийся на файлах, связанных с веб-сайтами, таких как php/js/html. По умолчанию сканер устанавливается как служба и работает с правами суперпользователяЭскалация привилегий на виртуальном хостинге.

На виртуальном хостинге успешная эксплуатация уязвимости может привести к повышению привилегий и получению root-доступа в зависимости от того, как развернут сканер и какие у него привилегии. Если imunify360AV или его оболочка работают с повышенными привилегиями, злоумышленник может использовать RCE для перехода от одного скомпрометированного сайта к полному контролю над хостом.

Patchstack показывает, что сама структура сканера предоставляет злоумышленникам как способ входа, так и механизм выполнения. Этот инструмент предназначен для деобфускации сложных полезных нагрузок, и именно эта возможность обеспечивает работоспособность эксплойта. После того как сканер расшифровывает функции, предоставленные злоумышленником, он может запускать их с теми же привилегиями, которые у него уже есть.

В средах, где сканер работает с повышенными привилегиями, одна вредоносная полезная нагрузка может привести к компрометации не только веб-сайта, но и всего хост-сервера. Эта связь между деобфускацией, уровнем привилегий и выполнением кода объясняет, почему Patchstack классифицирует последствия как вплоть до полного захвата сервера.

Два уязвимых места: сканер файлов и сканер баз данных

Исследователи в области безопасности сначала обнаружили уязвимость в файловом сканере, но позже выяснилось, что модуль сканирования баз данных также уязвим. Согласно объявлению: «сканер баз данных (imunify_dbscan.php) также был уязвим, причём точно таким же образом.» Оба компонента для сканирования вредоносного ПО (файловый сканер и сканер баз данных) передают вредоносный код во внутренние процедуры Imunify360, которые затем выполняют этот код, предоставляя злоумышленникам два разных способа воспользоваться уязвимостью.

Почему уязвимость легко использовать

Для использования уязвимости, связанной с файловым сканером, злоумышленникам нужно было поместить вредоносный файл на сервер в такое место, которое Imunify360 в конечном итоге просканирует. Но для использования уязвимости, связанной с сканером баз данных, нужна только возможность записи в базу данных, что часто встречается на платформах виртуального хостинга.

Поскольку формы для комментариев, контактные формы, поля профиля и журналы поиска могут записывать данные в базу, злоумышленнику не составит труда внедрить вредоносный контент даже без аутентификации.

Это делает уязвимость более масштабной, чем обычный недостаток, связанный с выполнением вредоносного ПО, поскольку обычный пользовательский ввод становится вектором уязвимости для удалённого выполнения кода.

Молчание поставщика и сроки раскрытия информации

По данным Patchstack, компания Imunify360 AV выпустила патч, но не сделала публичного заявления об уязвимости и не присвоила ей CVE-идентификатор. CVE (Common Vulnerabilities and Exposures) — это уникальный идентификатор, присваиваемый конкретной уязвимости в программном обеспечении. Он служит общедоступной записью и обеспечивает стандартизированный способ каталогизации уязвимостей, чтобы заинтересованные стороны были осведомлены о недостатках, особенно в целях управления рисками. Если CVE не будет опубликован, пользователи и потенциальные пользователи могут не узнать об уязвимости, даже если она уже указана в открытом доступе на сайте Imunify360 в Zendesk.

Патчстек объясняет:

«Об этой уязвимости стало известно в конце октября, и вскоре после этого клиенты начали получать уведомления. Мы советуем хостинг-провайдерам, которых это касается, обратиться к поставщику за дополнительной информацией о возможном использовании уязвимости в реальных условиях или о результатах внутреннего расследования.К сожалению, команда Imunify360 не сделала никаких заявлений по этому поводу, и уязвимость до сих пор не получила CVE-идентификатор. В то же время с 4 ноября 2025 года проблема была общедоступной на их платформе Zendesk.На основании нашего анализа этой уязвимости мы оцениваем её по шкале CVSS в 9,9 балла.

Рекомендуемые действия для администраторов

Patchstack рекомендует администраторам серверов немедленно устанавливать обновления безопасности от производителя, если они используют Imunify360 AV (AI-bolit) до версии 32.7.4.0, или удалить инструмент, если установка обновлений невозможна.

Если немедленное обновление невозможно, следует ограничить среду выполнения инструмента, например запустить его в изолированном контейнере с минимальными привилегиями. Всем администраторам также рекомендуется обратиться в службу поддержки CloudLinux / Imunify360, чтобы сообщить о потенциальной угрозе, подтвердить, что их среда была затронута, и получить рекомендации по устранению последствий инцидента.

Комментарий к новости от экспертов веб-студии Имагос

Эта ситуация — классический пример "цепочки доверия" в безопасности.

1. Проблема не в самой уязвимости, а в процессе обновлений. Imunify360 — это коммерческий, качественный продукт для защиты серверов. Однако, как и любое сложное программное обеспечение, в нем периодически находят уязвимости. Критическая ошибка здесь — отсутствие автоматических бесшовных обновлений или невнимательность администраторов к уведомлениям о безопасности.
2. Эффект масштабирования. Проблема на одном shared-хостинге или VPS-сервере может привести к компрометации тысяч, а в данном случае — миллионов сайтов. Атаковав один слабый элемент (панель управления хостингом или сам Imunify), злоумышленник получает доступ ко всем данным на сервере.
3. Ответственность распределена.

• Производитель ПО (Imunify360): Должен оперативно выпускать исправления, четко информировать клиентов о критичности обновления и делать процесс обновления максимально простым.
• Хостинг-провайдер / Системный администратор: Несет прямую ответственность за применение исправлений. Пропуск критического обновления безопасности — это грубая ошибка.
• Владелец сайта: Часто не имеет контроля над безопасностью сервера, но несет все риски. Это подчеркивает важность выбора надежного хостинг-провайдера с прозрачной политикой безопасности.

История служит суровым напоминанием, что безопасность — это непрерывный процесс, а не разовая настройка. Даже самая лучшая защита бесполезна, если ее не поддерживать в актуальном состоянии.

Предложения по решению и список сканеров для защиты серверов

Решение проблемы состоит из двух частей: 1) Немедленное действие (проверить и обновить Imunify360) и 2) Комплексная стратегия защиты (не полагаться на один инструмент).

Часть 1: Немедленные действия

1. Проверить и обновить Imunify360. Немедленно убедиться, что на всех серверах установлена последняя версия Imunify360 с всеми патчами безопасности.
2. Настроить автоматические обновления. Включить функцию автоматического обновления для Imunify360 и всего системного ПО (ОС, веб-сервер, PHP и т.д.).
3. Аудит и мониторинг. Регулярно проверять логи Imunify360, системные логи и логи веб-приложений на предмет подозрительной активности.

Часть 2: Комплексная стратегия защиты (Многоуровневая оборона)

Нельзя полагаться только на один антивирус. Вот список инструментов для построения эшелонированной обороны сервера.

Список сканеров и инструментов для защиты серверов

Категория 1: Сканеры уязвимостей и аудита безопасности

Эти инструменты proactively ищут известные дыры в безопасности.

1. OpenVAS / Greenbone Vulnerability Management (GVM)

• Описание: Мощный, полнофункциональный сканер уязвимостей с открытым исходным кодом. Проверяет ОС, сервисы и приложения на тысячи известных уязвимостей.
• Использование: Для регулярного глубокого аудита всего сервера.

1. Lynis

• Описание: Легковесный, но невероятно эффективный инструмент для аудита безопасности Unix/Linux-систем. Проверяет конфигурации, права, наличие патчей и дает конкретные рекомендации по усилению защиты.
• Использование: Идеален для быстрой проверки и "закалки" (hardening) сервера после настройки.

1. Nessus

• Описание: Коммерческий аналог OpenVAS от Tenable. Считается индустриальным стандартом, обладает самой актуальной и полной базой уязвимостей.
• Использование: Для профессионального использования в корпоративной среде, где критична точность и полнота.

Категория 2: Системы обнаружения и предотвращения вторжений (HIDS/IPDS)

Эти инструменты постоянно мониторят активность на сервере и блокируют атаки в реальном времени.

1. Wazuh

• Описание: Открытая платформа безопасности, которая сочетает в себе HIDS, мониторинг целостности файлов (FIM), обнаружение аномалий и соответствие требованиям (например, PCI DSS).
• Использование: Для круглосуточного мониторинга состояния сервера, получения предупреждений о подозрительных действиях (изменение критических файлов, подозрительные процессы).

1. OSSEC

• Описание: Классический HIDS с открытым исходным кодом. Выполняет анализ логов, проверку целостности файлов, обнаружение руткитов и активный ответ.
• Использование: Как основа для построения системы мониторинга безопасности.

1. Fail2Ban

• Описание: Легкий, но очень полезный инструмент, который сканирует логи на предмет неудачных попыток входа (SSH, FTP, веб-формы) и автоматически блокирует IP-адреса атакующих на определенное время с помощью iptables/firewalld.
• Использование: Обязателен к установке на любом сервере, подверженном атакам брут-форс.

Категория 3: Сканеры вредоносных программ (Malware) для веб-сайтов

Они специализируются на поиске бэкдоров, шелл-скриптов, зараженных тем и плагинов.

1. Imunify360 (в актуальной версии)

• Описание: Комплексный коммерческий продукт, который уже включает в себя антивирус, WAF, мониторинг целостности файлов и сканер вредоносных программ для веб-сайтов. Ключевой момент — он должен быть обновлен.
• Использование: Основной инструмент для защиты веб-приложений на хостинге.

1. ClamAV

• Описание: Самый популярный открытый антивирусный движок. Может быть интегрирован в почтовые серверы и использоваться для сканирования файловых хранилищ.
• Использование: Хорош как дополнительный сканер, особенно в связке с автоматическими скриптами (например, через clamscan).

1. Maldet (Linux Malware Detect)

• Описание: Специализированный сканер для Linux, ориентированный на обнаружение угроз, распространяющихся в хостинговых средах (PHP-шеллы, бот-агенты и т.д.).
• Использование: Отличное дополнение к ClamAV, так как использует сигнатуры, специфичные для веб-угроз.

Категория 4: Фаерволы для веб-приложений (WAF)

1. ModSecurity с OWASP Core Rule Set (CRS)

• Описание: Мощный, гибкий WAF с открытым исходным кодом. Может блокировать распространенные веб-атаки, такие как SQL-инъекции, XSS, включение удаленных файлов и многие другие.
• Использование: Для защиты веб-приложений (например, WordPress, Joomla) на уровне веб-сервера (Apache/Nginx).

Итоговая рекомендация

Для надежной защиты типичного веб-сервера рекомендуется выстроить следующий стек:

1. База: Актуальная ОС с настроенным фаерволом (iptables/firewalld) и Fail2Ban.
2. Проактивная защита: Сканер уязвимостей типа Lynis или OpenVAS для регулярных проверок.
3. Постоянный мониторинг: HIDS типа Wazuh для отслеживания активности в реальном времени.
4. Защита веб-приложений: WAF ModSecurity и специализированный сканер малвари (Imunify360 или Maldet).

Как считают эксперты веб-студии Имагос https://www.imagos.ru/ безопасность — это слоеный пирог. Чем больше слоев защиты, тем сложнее злоумышленнику добраться до ваших данных. Новость про Imunify360 — это яркое напоминание, что каждый слой должен быть вовремя обновлен.