Một lỗ hổng Imunify360 RCE (Remote Code Execution) nghiêm trọng đã được vá trong Imunify360 AV, một sản phẩm bảo mật đang bảo vệ khoảng 56 triệu trang web trên toàn cầu. Các công ty lưu trữ web (hosting) phải ngay lập tức áp dụng bản vá này để ngăn chặn nguy cơ bị chiếm quyền điều khiển máy chủ.
Thông tin chi tiết về lỗ hổng bắt đầu được lan truyền vào cuối tháng 10 năm 2024, thúc đẩy các nhà cung cấp hosting bị ảnh hưởng khẩn cấp xác minh tính toàn vẹn của máy chủ của họ. Mặc dù mức độ nghiêm trọng cao, đội ngũ Imunify360 đã không phát hành tuyên bố chính thức và chưa có mã định danh CVE nào được gán. Vấn đề này được ghi nhận một cách âm thầm trên cổng hỗ trợ Zendesk của họ vào ngày 4 tháng 11 năm 2025, với điểm CVSS ước tính là 8.2.
Phân tích Lỗ hổng Remote Code Execution trong Imunify360 AV
Các nhà nghiên cứu bảo mật đã phát hiện một lỗ hổng remote code execution trong các phiên bản Imunify360 AV (AI-Bolit) trước v32.7.4.0. Lỗ hổng này bắt nguồn từ logic giải mã (deobfuscation logic) thực thi các hàm và tải trọng không đáng tin cậy được trích xuất từ các mẫu mã độc do kẻ tấn công cung cấp.
Cơ chế Khai thác Lỗ hổng Imunify360 RCE
Khi xử lý các tệp tin độc hại, trình giải mã có thể gọi các hàm PHP nguy hiểm. Các hàm này bao gồm system(), exec(), shell_exec(), passthru(), và eval(). Việc này cho phép thực thi lệnh tùy ý và dẫn đến việc chiếm quyền điều khiển hoàn toàn môi trường lưu trữ.
Kẻ tấn công có thể nhúng mã PHP đã được che giấu đặc biệt. Mã này sẽ kích hoạt các chữ ký giải mã của Imunify360 AV. Khi được xử lý, trình giải mã sẽ thực thi các hàm được trích xuất trên dữ liệu do kẻ tấn công kiểm soát. Điều này cho phép thực thi các lệnh hệ thống tùy ý hoặc mã PHP.
Hậu quả của việc khai thác thành công rất đa dạng, từ việc thỏa hiệp từng trang web cho đến chiếm quyền điều khiển toàn bộ máy chủ. Mức độ ảnh hưởng phụ thuộc vào cấu hình hosting và cấp độ đặc quyền của dịch vụ Imunify360 AV.
Kỹ thuật Che giấu và Thách thức trong Phát hiện
Việc phát hiện lỗ hổng này rất khó khăn vì các tải trọng độc hại sử dụng các kỹ thuật che giấu nâng cao. Các kỹ thuật này bao gồm mã hex thoát (hex escapes), tải trọng được nén (packed payloads), chuỗi mã hóa base64/gzinflate, và biến đổi custom delta/ord. Chúng được thiết kế đặc biệt để vượt qua khả năng phát hiện cho đến khi được giải mã.
Các phương pháp che giấu này đảm bảo rằng mã độc không bị nhận diện bởi các công cụ bảo mật thông thường cho đến khi Imunify360 AV tự giải mã nó. Chính quá trình giải mã này lại trở thành điểm yếu bị lợi dụng.
Chi tiết Kỹ thuật và Môi trường Khai thác
Imunify360 AV hoạt động như một máy quét mã độc chuyên biệt cho các tệp tin trang web. Các loại tệp được quét bao gồm PHP, JavaScript và HTML. Theo mặc định, máy quét chạy như một dịch vụ với đặc quyền root.
Điều này tạo ra rủi ro leo thang đặc quyền nghiêm trọng trong các môi trường hosting chia sẻ. Khai thác thành công lỗ hổng Imunify360 RCE có thể cho phép kẻ tấn công leo thang từ một trang web bị xâm nhập mạng thành kiểm soát hoàn toàn máy chủ gốc.
Luồng Mã Lỗi và Việc Thiếu Xác Thực
Lỗ hổng tồn tại trong hai luồng mã có vấn đề bên trong công cụ giải mã. Một luồng là mẫu hàm eval-hex, khớp với mã đã che giấu chứa tên hàm được mã hóa hex. Luồng còn lại là Delta/Ord, xử lý các chuỗi và tên hàm được phục hồi thông qua Helpers::executeWrapper.
Cả hai luồng này đều thiếu cơ chế xác thực an toàn cho các hàm được thực thi. Điều này cho phép thực thi các hàm hệ thống nguy hiểm một cách tùy tiện. Điều đáng chú ý nhất là, mặc dù các thiết lập mặc định của CLI tắt tính năng giải mã sâu (deep deobfuscation), trình bao bọc (wrapper) của máy quét Python lại tự động bật tính năng này cho tất cả các loại quét. Các loại quét này bao gồm quét nền (background), quét theo yêu cầu (on-demand), quét do người dùng khởi tạo (user-initiated), và quét tài khoản nhanh (rapid account scans).
Để hiểu rõ hơn về cách các hàm PHP có thể bị lạm dụng, bạn có thể tham khảo tài liệu về các hàm PHP nguy hiểm.
Biện pháp Giảm thiểu và Khuyến nghị Khẩn cấp
Các quản trị viên đang chạy Imunify360 AV phiên bản trước v32.7.4.0 phải ngay lập tức áp dụng các bản vá bảo mật do nhà cung cấp cung cấp. Đây là biện pháp khắc phục quan trọng nhất để vá lỗ hổng Imunify360 RCE này.
Nếu việc cập nhật bản vá ngay lập tức không khả thi, hãy hạn chế môi trường thực thi của máy quét. Nên chạy máy quét trong các vùng chứa phân tích (analysis containers) được cách ly, với đặc quyền tối thiểu và không có quyền truy cập mạng. Điều này sẽ giúp giảm thiểu rủi ro trong trường hợp bị khai thác.
Các quản trị viên cũng nên liên hệ với bộ phận hỗ trợ của CloudLinux để xác minh tình trạng phơi nhiễm và nhận hướng dẫn sau sự cố. Việc chủ động tìm kiếm sự hỗ trợ sẽ giúp đảm bảo hệ thống được bảo vệ và phục hồi hiệu quả.
Bạn có thể tìm thấy thông tin bổ sung về các khuyến nghị bảo mật từ các nguồn đáng tin cậy như NVD NIST hoặc các cảnh báo từ các tổ chức an ninh mạng uy tín.
