Uma vulnerabilidade crítica foi descoberta recentemente no Imunify360 AV, um scanner de segurança usado por empresas de hospedagem na web para proteger mais de 56 milhões de sites. Um comunicado da empresa de segurança cibernética Patchstack alerta que a vulnerabilidade pode permitir que invasores assumam o controle total do servidor e de todos os sites nele contidos.

Imunify360 AV

Imunify360 AV é um sistema de verificação de malware usado por várias empresas de hospedagem. A vulnerabilidade foi descoberta em seu mecanismo de verificação de arquivos AI-Bolit e no módulo separado de verificação de banco de dados. Como os scanners de arquivos e de banco de dados são afetados, os invasores podem comprometer o servidor por dois caminhos, o que pode permitir o controle total do servidor e potencialmente colocar milhões de sites em risco.

Pilha de patches detalhes compartilhados do impacto potencial:

“Atacantes remotos podem incorporar PHP ofuscado especificamente criado que corresponda às assinaturas de desofuscação imunify360AV (AI-bolit). O desofuscador executará funções extraídas em dados controlados pelo invasor, permitindo a execução de comandos de sistema arbitrários ou código PHP arbitrário. O impacto varia desde o comprometimento do site até o controle total do servidor, dependendo da configuração e dos privilégios de hospedagem.

A detecção não é trivial porque as cargas maliciosas são ofuscadas (escapes hexadecimais, cargas compactadas, cadeias base64/gzinflate, transformações delta/ord personalizadas) e devem ser desofuscadas pela própria ferramenta.

imunify360AV (Ai-Bolit) é um scanner de malware especializado em arquivos relacionados a sites, como php/js/html. Por padrão, o scanner é instalado como um serviço e funciona com privilégios de root

Escalonamento de hospedagem compartilhada: Na hospedagem compartilhada, a exploração bem-sucedida pode levar ao escalonamento de privilégios e ao acesso root, dependendo de como o verificador é implantado e de seus privilégios. se o imunify360AV ou seu wrapper for executado com privilégios elevados, um invasor poderá aproveitar o RCE para passar de um único site comprometido para completar o controle do host.”

Patchstack mostra que o próprio design do scanner fornece aos invasores tanto o método de entrada quanto o mecanismo de execução. A ferramenta foi criada para desofuscar cargas complexas, e esse recurso se torna a razão pela qual a exploração funciona. Depois que o scanner decodifica as funções fornecidas pelo invasor, ele pode executá-las com os mesmos privilégios que já possui.

Em ambientes onde o scanner opera com acesso elevado, uma única carga maliciosa pode passar de um comprometimento no nível do site para o controle de todo o servidor de hospedagem. Essa conexão entre desofuscação, nível de privilégio e execução explica por que o Patchstack classifica o impacto como variando até o controle total do servidor.

Dois caminhos vulneráveis: scanner de arquivos e scanner de banco de dados

Os pesquisadores de segurança descobriram inicialmente uma falha no scanner de arquivos, mas mais tarde descobriu-se que o módulo de varredura de banco de dados era vulnerável da mesma forma. De acordo com o anúncio: “o scanner de banco de dados (imunify_dbscan.php) também era vulnerável, e vulnerável exatamente da mesma maneira.”Ambos os componentes de verificação de malware (scanners de arquivos e bancos de dados) passam código malicioso para as rotinas internas do Imunify360 que então executam o código não confiável, dando aos invasores duas maneiras diferentes de acionar a vulnerabilidade.

Por que a vulnerabilidade é fácil de explorar

A parte do scanner de arquivos da vulnerabilidade exigia que os invasores colocassem um arquivo prejudicial no servidor em um local que o Imunify360 eventualmente verificaria. Mas a parte da vulnerabilidade do scanner de banco de dados precisa apenas da capacidade de gravar no banco de dados, o que é comum em plataformas de hospedagem compartilhada.

Como formulários de comentários, formulários de contato, campos de perfil e logs de pesquisa podem gravar dados no banco de dados, a injeção de conteúdo malicioso torna-se fácil para um invasor, mesmo sem autenticação. Isso torna a vulnerabilidade mais ampla do que uma falha normal de execução de malware porque transforma uma entrada comum do usuário em um vetor de vulnerabilidade para execução remota de código.

Silêncio do fornecedor e cronograma de divulgação

De acordo com Patchstack, um patch foi emitido pelo Imunify360 AV, mas nenhuma declaração pública foi feita sobre a vulnerabilidade e nenhum CVE foi emitido para ela. Um CVE (Vulnerabilidades e Exposições Comuns) é um identificador exclusivo atribuído a uma vulnerabilidade específica em software. Serve como um registro público e fornece uma forma padronizada de catalogar uma vulnerabilidade para que as partes interessadas sejam informadas da falha, principalmente para o gerenciamento de riscos. Se nenhum CVE for emitido, os usuários e usuários potenciais poderão não saber sobre a vulnerabilidade, mesmo que o problema já esteja listado publicamente no Zendesk do Imunify360.

Patchstack explica:

“Esta vulnerabilidade é conhecida desde o final de outubro, e os clientes começaram a receber notificações logo depois, e aconselhamos os provedores de hospedagem afetados a entrar em contato com o fornecedor para obter informações adicionais sobre uma possível exploração em estado selvagem ou quaisquer resultados de investigação interna.

Infelizmente, não houve nenhuma declaração divulgada sobre o assunto pela equipe do Imunify360 e nenhum CVE ainda foi atribuído. Ao mesmo tempo, o problema está disponível publicamente no Zendesk desde 4 de novembro de 2025.

Com base em nossa análise desta vulnerabilidade, consideramos que a pontuação CVSS é: 9,9”

Ações recomendadas para administradores

Patchstack recomenda que os administradores de servidor apliquem imediatamente as atualizações de segurança do fornecedor se estiverem executando o Imunify360 AV (AI-bolit) anterior à versão 32.7.4.0, ou removam a ferramenta se o patch não for possível. Se um patch imediato não puder ser aplicado, o ambiente de execução da ferramenta deverá ser restrito, como executá-la em um contêiner isolado com privilégios mínimos. Todos os administradores também são incentivados a entrar em contato com o suporte do CloudLinux/Imunify360 para relatar exposição potencial, confirmar se seu ambiente foi afetado e colaborar na orientação pós-incidente.

Imagem em destaque da Shutterstock/DC Studio