خلاصه
Imunify360 AV که روی سرورهای میزبانی مشترک بیش از ۵۶ میلیون وبسایت فعال است، یک آسیبپذیری شدید (امتیاز CVSS ۹.۹) پیدا کرده که امکان اجرای کد دلخواه و در نهایت کنترل کامل سرور را میدهد؛ بدون انتشار CVE یا اطلاعرسانی عمومی از سوی کمپانی.
چرا این حفره خطرناک است؟
مهاجم فقط باید یک کد مخرب در دیتابیس یا فایل قرار دهد؛ اسکنر خود نرمافزار آن را «خرابخوانی» و اجرا میکند، چون در حالت پیشفرض با دسترسی ریش اجرا میشود.
دو مسیر حمله
۱- اسکنر فایل
آپلود فایل آلوده کافی است.
۲- اسکنر دیتابیس
فرمها، نظرات یا لاگهای جستجو میتوانند کد مخرب را وارد دیتابیس کرده و بعد توسط imunify_dbscan.php اجرا شوند.
چرا بهراحتی قابل سوءاستفاده است؟
- روی میزبانی اشتراکی نیاز به احراز هویت نیست.
- اسکنر بهطور خودکار کد را «خراب» و سیامدی یا پیاچپی را اجرا میکند.
زمانبندی افشا
اواخر اکتبر ۲۰۲۴ گزارش شد، وصله نسخه ۳۲.۷.۴.۰ منتشر اما هنوز CVEای صادر نشده و اطلاعیه عمومی از سوی سازنده نیامده است.
کار فوری مدیران سرور
- فوراً اگر نسخهتان قدیمی است، به ۳۲.۷.۴.۰ یا بالاتر بهروز کنید.
- اگر امکان بهروزرسانی نیست، ابزار را غیرفعال یا در محیطایزوله با کمترین دسترسی اجرا کنید.
- با پشتیبانی CloudLinux / Imunify360 تماس بگیرید و از وجود سوءاستفاده احتمالی مطمئن شوید.
مقدمه
Imunify360 AV قرار بوده دیوار آتشین سایتهای میزبانی باشد، اما حالا خودش یک «دروازه ورود» به حساب میآید. این مقاله ساده توضیح میدهد خطر چیست، چگونه سوءاستفاده میشود و چه باید بکنید تا همین امروز از سرور و وبسایتهایتان محافظت کنید.