Критическая уязвимость была обнаружена в Imunify360 AV — популярном сканере безопасности, который используют хостинг-провайдеры для защиты более чем 56 миллионов сайтов. Согласно отчёту компании Patchstack, уязвимость позволяет злоумышленникам получить полный контроль над сервером и всеми размещёнными на нём сайтами.

Что такое Imunify360 AV

Imunify360 AV — это система сканирования на наличие вредоносного ПО, используемая множеством хостинговых компаний. Уязвимость была найдена в движке AI-Bolit, отвечающем за файловое сканирование, а также в отдельном модуле для сканирования баз данных. Учитывая, что оба компонента уязвимы, сервер может быть скомпрометирован по двум различным каналам.

Patchstack описывает потенциальный ущерб так:

• Удалённые атакующие могут внедрить специально созданный обфусцированный PHP-код, который соответствует сигнатурам деобфускации Imunify360 AV.
• Деобфускатор выполняет извлечённые функции на данных, контролируемых злоумышленником, что позволяет выполнять системные команды или произвольный PHP-код.
• Последствия включают компрометацию отдельных сайтов или полный захват сервера — в зависимости от конфигурации и уровня привилегий.
• Обнаружение атаки затруднено, так как вредоносные полезные нагрузки скрыты с помощью различных методов (hex-экранирование, упаковка, цепочки base64/gzinflate, собственные трансформации).
• Сканер по умолчанию работает как сервис с root-привилегиями, что делает атаку ещё опаснее.

В условиях общего хостинга успешная эксплуатация может привести к повышению привилегий и получению root-доступа.

Почему сканер сам создаёт условия для атаки

Imunify360 AV разработан для деобфускации сложных полезных нагрузок, что и стало причиной уязвимости. Сканер декодирует вредоносные функции и запускает их с собственным уровнем привилегий. Если сканер работает с повышенными правами, то и вредоносный код получает доступ к управлению сервером.

Две уязвимые области: файловый и базовый сканеры

Изначально исследователи нашли уязвимость в файловом сканере, но позже выяснилось, что модуль сканирования базы данных уязвим точно таким же образом.

• Файловый сканер обрабатывает загруженные или размещённые файлы.
• Сканер базы данных работает с контентом, записанным в БД.

Оба модуля передают вредоносный код во внутренние процедуры Imunify360, которые затем выполняют непроверенный код.

Почему уязвимость так легко эксплуатировать

Для обхода файлового сканера злоумышленнику нужно разместить вредоносный файл на сервере. Но модуль сканирования базы данных требует лишь возможности записи в БД — что стандартно доступно на большинстве виртуальных хостингов.

Так как формы комментариев, контактные формы, профили пользователей и поисковые логи записывают данные в базу, внедрение вредоносного содержимого становится крайне простым — даже без авторизации.

Молчание производителя и хронология раскрытия

Patchstack сообщает, что патч уже выпущен, но Imunify360 AV не опубликовали официальный пресс-релиз и не получили CVE-идентификатор. При этом описание проблемы доступно в их Zendesk с 4 ноября 2025 года.

Patchstack отмечает:

• Уязвимость известна с конца октября.
• Клиенты начали получать уведомления вскоре после обнаружения.
• Нет публичного заявления и назначенного CVE.
• CVSS-оценка по мнению Patchstack — 9.9 из 10.

Рекомендации администраторам

1. Немедленно установить обновления безопасности, если используется Imunify360 AV (AI-bolit) версии ниже 32.7.4.0.
2. Если обновление невозможно — временно удалить инструмент.
3. При невозможности удаления — запускать сканер в изолированном контейнере с минимальными привилегиями.
4. Связаться с поддержкой CloudLinux / Imunify360 для уточнения, затронута ли инфраструктура, и получить рекомендации по реагированию.

Вывод

Уязвимость в Imunify360 AV представляет серьёзную угрозу для миллионов сайтов по всему миру. Особо опасно то, что злоумышленник может использовать обычный пользовательский ввод как вектор атаки и получить полный контроль над сервером. Администраторам рекомендуется действовать незамедлительно.