Un fallo de ejecución remota de código (RCE) en ImunifyAV, uno de los antivirus más extendidos en entornos Linux de hosting, podría permitir a atacantes comprometer servidores completos.
ImunifyAV forma parte del ecosistema Imunify360 y está presente en más de 56 millones de sitios web, lo que convierte esta falla en un riesgo masivo para proveedores de hosting, plataformas WordPress y servidores cPanel/WHM o Plesk.
El problema: ejecución de funciones peligrosas durante la desofuscación
La vulnerabilidad afecta al componente AI-bolit en versiones anteriores a 32.7.4.0.
Según Patchstack, el origen del fallo está en la lógica de desofuscación del escáner:
El componente ejecuta nombres de funciones extraídos desde archivos PHP ofuscados.
Al utilizar
call_user_func_arraysin validar esos nombres, permite ejecutar funciones peligrosas como:
system, exec, shell_exec, passthru, eval, entre otras.
Esto significa que un atacante puede incrustar código malicioso dentro de un archivo PHP ofuscado, y el propio antivirus lo ejecutará durante el análisis, habilitando RCE.
Por qué el riesgo es mayor en Imunify360
Aunque la versión CLI de AI-bolit no activa la desofuscación por defecto, Imunify360 sí lo hace:
Escaneos en segundo plano
Escaneos bajo demanda
Escaneos iniciados por usuarios
Escaneos rápidos
Esto deja la puerta abierta a que un archivo PHP malicioso provoque la ejecución de código de forma automática en cualquier entorno donde Imunify360 esté activo.
Patchstack demostró un proof-of-concept (PoC) donde un archivo PHP en /tmp desencadena ejecución remota al ser escaneado.
Impacto: desde compromisos de sitios web hasta toma de servidores
El potencial daño depende de los privilegios con los que ImunifyAV/Imunify360 esté ejecutándose:
Si se ejecuta con privilegios limitados:
→ compromiso del sitio o usuario afectado.Si corre con privilegios elevados en entornos compartidos:
→ toma de control total del servidor, incluido acceso a sitios de otros clientes.
Esto convierte el fallo en una amenaza de gran escala para proveedores de hosting masivo.
Correcciones disponibles, pero comunicación insuficiente
CloudLinux lanzó parches a finales de octubre y el 10 de noviembre backporteó la solución a versiones anteriores.
La corrección introduce una lista blanca de funciones seguras, bloqueando ejecuciones arbitrarias durante la desofuscación.
Sin embargo:
El fallo no tiene CVE asignado.
No existe guía oficial para detección de compromiso.
No hay instrucciones sobre cómo revisar si un servidor fue explotado.
Tampoco hay confirmación de actividad maliciosa activa.
CloudLinux solo recomendó actualizar inmediatamente a la versión 32.7.4.0 o superior.
Un riesgo silencioso para administradores y proveedores de hosting
La mayoría de los dueños de sitios web no instalan Imunify directamente; corre a nivel de plataforma.
Esto significa que miles de entornos pueden estar expuestos sin que los usuarios finales lo sepan.
Sin una advertencia formal ni un identificador de vulnerabilidad, existe preocupación en la comunidad sobre la visibilidad limitada del fallo.
Conclusión
La vulnerabilidad en ImunifyAV es un recordatorio contundente de que incluso las herramientas diseñadas para proteger pueden convertirse en vectores de ataque cuando procesan contenido manipulable por un adversario.
Para los administradores de hosting y servicios compartidos, la prioridad inmediata es:
Actualizar ImunifyAV/Imunify360 a la versión 32.7.4.0+
Revisar logs de escaneo y actividad inusual
Restringir privilegios del escáner cuando sea posible
Aumentar monitoreo de archivos PHP subidos por usuarios
