Redazione RHC : 14 noviembre 2025 13:39
Se ha descubierto una vulnerabilidad en el ecosistema de alojamiento Linux : se ha encontrado que el escáner de malware ImunifyAV es vulnerable a la ejecución remota de código (RCE).
El problema afecta al componente AI-Bolit integrado en Imunify360 , la versión de pago ImunifyAV+ y la versión gratuita ImunifyAV. Se publicó una actualización a finales de octubre, pero la vulnerabilidad aún no se ha identificado y no existen recomendaciones para realizar análisis en busca de indicios de intrusión.
Patchstack ha publicado información sobre la vulnerabilidad en cuestión. Según la empresa, la vulnerabilidad reside en la lógica utilizada para desempaquetar archivos PHP ofuscados al analizar contenido sospechoso. AI-Bolit invocaba funciones PHP extraídas de archivos ofuscados sin verificar su validez. Utilizando la estructura `call_user_func_array` sin filtrado de nombres, ejecutaba funciones arbitrarias del sistema, como `exec`, `shell_exec`, `passthru` , `eval` , entre otras. Esto creaba una plataforma en el servidor para ataques sofisticados capaces de tomar el control del sitio web y, con privilegios de escaneo avanzados , potencialmente obtener el control de toda la máquina.
Aunque la desofuscación activa está desactivada en la versión independiente de AI-Bolit, la integración del escáner con Imunify360 la activa. Esto se aplica al escaneo en segundo plano, al escaneo bajo demanda, a los escaneos definidos por el usuario y a los escaneos acelerados, creando las condiciones necesarias para la explotación. Patchstack demostró un ejemplo funcional: basta con crear un archivo PHP preconfigurado en un directorio temporal . Tras analizar este objeto, el escáner ejecutará un comando malicioso .
La popularidad de ImunifyAV ha generalizado el problema: la solución está integrada en el panel de control cPanel/WHM , se utiliza activamente en instalaciones de servidores y está presente en cualquier alojamiento estándar con protección Imunify360. Según datos de la compañía de octubre de 2024, este conjunto de herramientas opera silenciosamente en 56 millones de sitios web , y el número de instalaciones de Imunify360 supera las 645 000.
CloudLinux anunció el lanzamiento del parche y recomendó que los administradores actualicen a la versión 32.7.4.0, incluidas las instalaciones antiguas de Imunify360 AV, a las que se migraron los parches el 10 de noviembre.
La nueva versión implementa una lista blanca de funciones seguras que impide la ejecución de código PHP no autorizado durante el proceso de desofuscación . Sin embargo, la empresa aún no ha proporcionado instrucciones para identificar posibles vulnerabilidades ni ha confirmado la existencia de ataques activos.
RedazioneLos atacantes están explotando activamente una vulnerabilidad crítica en el sistema de protección de aplicaciones web (WAF) FortiWeb de Fortinet, que podría utilizarse como medio para realizar ata...
En uno de los foros más populares de Rusia para la compraventa de vulnerabilidades y herramientas de ataque, el hilo apareció como un anuncio comercial estándar, pero su contenido dista mucho de se...
A menudo hablamos del servicio de ransomware como servicio (RaaS) LockBit, recientemente renovado como LockBit 3.0, que sigue aportando innovaciones significativas al panorama del ransomware. Estas in...
En esta apasionante historia, viajaremos a 1959 al Club de Ferrocarriles en Miniatura del MIT Tech y conoceremos a Steve Russell. Steve fue uno de los primeros hackers y escribió uno de los primeros ...
El significado de » hacker » tiene profundas raíces. Proviene del inglés «to hack», que significa picar, cortar, golpear o mutilar. Es una imagen poderosa: la de un campesino rompiendo terrones ...
