數千萬個網站使用的 Linux 伺服器惡意軟體掃描器 ImunifyAV 存在遠端程式碼執行漏洞，該漏洞可能被利用來破壞託管環境。鑑於 ImunifyAV 在共享託管環境中的普及性（僅根據2024年10月的數據，該產品就在5,600萬個網站上默默運行，並有超過645,000次Imunify360安裝），此漏洞對整個Linux託管生態系統構成重大風險。該問題影響 AI-bolit 惡意軟體掃描元件 32.7.4.0 之前的版本。此元件存在於 Imunify360 套件、付費版 ImunifyAV+ 以及免費版惡意軟體掃描器 ImunifyAV 中。

該漏洞的根本原因是 AI-bolit 的反混淆邏輯，該邏輯在嘗試解包惡意軟體進行掃描時，會執行攻擊者控制的函數名稱和從混淆的 PHP 檔案中提取的資料。這是在惡意軟體分析的過程中發生的。這是因為工具在使用「call_user_func_array」時沒有驗證函數名稱，因此允許執行危險的 PHP 函數，例如 system、exec、shell_exec、passthru、eval 等，從而實現遠端程式碼執行。

安全研究人員指出，要利用此漏洞，攻擊者需要滿足一個條件：Imunify360 AV 必須在分析步驟中執行主動反混淆。雖然獨立的 AI-Bolit CLI 在預設情況下禁用此功能，但整合到 Imunify360 套件中的掃描器元件，無論是背景掃描、隨選掃描還是快速掃描，都會強制啟用「始終開啟」的主動反混淆狀態，從而滿足了被利用的條件。在共享託管環境中，如果掃描器以提升的權限運行，此漏洞可能導致完整的網站被入侵，甚至擴展到整個伺服器被接管。

儘管供應商 CloudLinux 已於十月下旬發布了修復程式，並於近日發出警告，建議客戶盡快更新軟體，但目前該問題尚未獲得 CVE-ID 來幫助發出警報和追蹤問題，也沒有官方說明如何檢查是否遭到入侵，也無偵測指南，更沒有確認是否存在在實際環境中被積極利用的情況。供應商的修復措施是在反混淆期間添加一個白名單機制，僅允許執行安全且確定性的函數，從而阻止了任意函數的執行。

為減輕風險，系統管理員應將 ImunifyAV/Imunify360 的 AI-bolit 元件升級到 v32.7.4.0 或更高版本。鑑於此漏洞的嚴重性和 ImunifyAV 在 Linux 託管環境中的廣泛部署，升級是防止託管環境被破壞的當務之急。

註：
ImunifyAV 是 Imunify360 安全套件的一部分，主要供網站寄存供應商或通用 Linux 共享主機代管環境使用，通常安裝在主機平台層面，而非由最終用戶直接安裝。它在共享主機方案、託管型 WordPress 主機、cPanel/WHM 伺服器和 Plesk 伺服器上極為常見。

資料來源：https://www.bleepingcomputer.com/news/security/rce-flaw-in-imunifyav-puts-millions-of-linux-hosted-sites-at-risk/