Une vulnérabilité critique a été récemment découverte dans Imunify360 AV, un scanner de sécurité utilisé par les sociétés d’hébergement Web pour protéger plus de 56 millions de sites Web. Un avis de la société de cybersécurité Patchstack prévient que cette vulnérabilité peut permettre aux attaquants de prendre le contrôle total du serveur et de chaque site Web qui s’y trouve.
Immunify360 AV
Imunify360 AV est un système d’analyse des logiciels malveillants utilisé par plusieurs sociétés d’hébergement. La vulnérabilité a été découverte dans son moteur d’analyse de fichiers AI-Bolit et dans le module d’analyse de base de données distinct. Étant donné que les scanners de fichiers et de bases de données sont affectés, les attaquants peuvent compromettre le serveur de deux manières, ce qui peut permettre une prise de contrôle complète du serveur et potentiellement mettre en danger des millions de sites Web.
Patchstack a partagé des détails sur l’impact potentiel :
« Les attaquants distants peuvent intégrer du PHP obscurci spécialement conçu qui correspond aux signatures de désobfuscation imunify360AV (AI-bolit). Le désobfuscateur exécutera des fonctions extraites sur les données contrôlées par l’attaquant, permettant l’exécution de commandes système arbitraires ou de code PHP arbitraire. L’impact va de la compromission du site Web à la prise de contrôle complète du serveur en fonction de la configuration et des privilèges de l’hébergement.
La détection n’est pas triviale car les charges utiles malveillantes sont obscurcies (échappements hexadécimaux, charges utiles compressées, chaînes base64/gzinflate, transformations delta/ord personnalisées) et sont destinées à être désobscurcies par l’outil lui-même.
imunify360AV (Ai-Bolit) est un scanner de malware spécialisé dans les fichiers liés aux sites Web comme php/js/html. Par défaut, le scanner est installé en tant que service et fonctionne avec les privilèges root
Escalade de l’hébergement partagé : sur l’hébergement partagé, une exploitation réussie peut conduire à une élévation des privilèges et à un accès root en fonction de la manière dont le scanner est déployé et de ses privilèges. si imunify360AV ou son wrapper s’exécute avec des privilèges élevés, un attaquant pourrait exploiter RCE pour passer d’un seul site compromis au contrôle complet de l’hôte.
Patchstack montre que la conception même du scanner offre aux attaquants à la fois la méthode d’entrée et le mécanisme d’exécution. L’outil est conçu pour désobscurcir les charges utiles complexes, et cette capacité devient la raison pour laquelle l’exploit fonctionne. Une fois que le scanner a décodé les fonctions fournies par l’attaquant, il peut les exécuter avec les mêmes privilèges dont il dispose déjà.
Dans les environnements où le scanner fonctionne avec un accès élevé, une seule charge utile malveillante peut passer d’une compromission au niveau du site Web au contrôle de l’ensemble du serveur d’hébergement. Ce lien entre la désobfuscation, le niveau de privilège et l’exécution explique pourquoi Patchstack classe l’impact comme allant jusqu’à la prise de contrôle complète du serveur.
Deux chemins vulnérables : l’analyseur de fichiers et l’analyseur de base de données
Les chercheurs en sécurité ont initialement découvert une faille dans le scanner de fichiers, mais le module d’analyse de la base de données s’est ensuite révélé vulnérable de la même manière. Selon l’annonce : «le scanner de base de données (imunify_dbscan.php) était également vulnérable, et vulnérable exactement de la même manière.« Les deux composants d’analyse des logiciels malveillants (scanners de fichiers et de bases de données) transmettent le code malveillant aux routines internes d’Imunify360 qui exécutent ensuite le code non fiable, offrant ainsi aux attaquants deux manières différentes de déclencher la vulnérabilité.
Pourquoi la vulnérabilité est facile à exploiter
La partie analyseur de fichiers de la vulnérabilité obligeait les attaquants à placer un fichier nuisible sur le serveur dans un emplacement qu’Imunify360 finirait par analyser. Mais la partie analyseur de base de données de la vulnérabilité n’a besoin que de la capacité d’écrire dans la base de données, ce qui est courant sur les plateformes d’hébergement partagé.
Étant donné que les formulaires de commentaires, les formulaires de contact, les champs de profil et les journaux de recherche peuvent écrire des données dans la base de données, l’injection de contenu malveillant devient facile pour un attaquant, même sans authentification. Cela rend la vulnérabilité plus large qu’une faille normale d’exécution de malware, car elle transforme une entrée utilisateur courante en un vecteur de vulnérabilité pour l’exécution de code à distance.
Chronologie du silence et de la divulgation du fournisseur
Selon Patchstack, un correctif a été publié par Imunify360 AV mais aucune déclaration publique n’a été faite sur la vulnérabilité et aucun CVE n’a été publié pour celle-ci. Un CVE (Common Vulnerabilities and Exposures) est un identifiant unique attribué à une vulnérabilité spécifique dans un logiciel. Il sert de dossier public et fournit un moyen standardisé de cataloguer une vulnérabilité afin que les parties intéressées soient informées de la faille, notamment pour la gestion des risques. Si aucun CVE n’est émis, les utilisateurs actuels et potentiels risquent de ne pas être informés de la vulnérabilité, même si le problème est déjà répertorié publiquement sur Zendesk d’Imunify360.
Patchstack explique :
«Cette vulnérabilité est connue depuis fin octobre et les clients ont commencé à recevoir des notifications peu de temps après, et nous conseillons aux fournisseurs d’hébergement concernés de contacter le fournisseur pour obtenir des informations supplémentaires sur une éventuelle exploitation dans la nature ou sur les résultats d’une enquête interne.
Malheureusement, aucune déclaration n’a été publiée sur le problème par l’équipe d’Imunify360, et aucun CVE n’a encore été attribué. Parallèlement, le numéro est accessible au public sur Zendesk depuis le 4 novembre 2025.
Sur la base de notre examen de cette vulnérabilité, nous considérons que le score CVSS est : 9,9 »
Actions recommandées pour les administrateurs
Patchstack recommande aux administrateurs de serveur d’appliquer immédiatement les mises à jour de sécurité du fournisseur s’ils exécutent Imunify360 AV (AI-bolit) avant la version 32.7.4.0, ou de supprimer l’outil si l’application de correctifs n’est pas possible. Si un correctif immédiat ne peut pas être appliqué, l’environnement d’exécution de l’outil doit être restreint, par exemple en l’exécutant dans un conteneur isolé avec des privilèges minimaux. Tous les administrateurs sont également invités à contacter le support CloudLinux/Imunify360 pour signaler une exposition potentielle, confirmer si leur environnement a été affecté et pour collaborer sur les conseils post-incident.
