İmunifyAV’deki Uzaktan Kod Çalıştırma Açığı Nedir?
İmunifyAV, dünya genelinde on milyonlarca web sitesi tarafından kullanılan bir kötü amaçlı yazılım tarayıcısıdır. Ancak bu yazılım, barındırma ortamını tehlikeye atabilecek bir uzaktan kod çalıştırma açığına sahiptir. Sorun, AI-bolit kötü amaçlı yazılım tarama bileşeninin 32.7.4.0 sürümünden önceki sürümlerini etkilemektedir. Bu bileşen, Imunify360 paketinde, ücretli ImunifyAV+ sürümünde ve ücretsiz İmunifyAV sürümünde bulunmaktadır.
Açığın Tehlikesi ve Etkileri
Patchstack adlı güvenlik şirketine göre, açığın varlığı Ekim ayı sonunda belirlenmiştir ve bu tarihten itibaren ImunifyAV’nin sağlayıcısı CloudLinux, düzeltmeler yayınlamıştır. Ancak henüz açığın bir tanımlayıcısı verilmemiştir. CloudLinux, 10 Kasım’da eski Imunify360 AV sürümlerine yamanmış bir fix yayınladı ve müşterilerine “en kısa zamanda yazılımı 32.7.4.0 sürümüne güncellemeleri” tavsiyesinde bulundu.
ImunifyAV, genellikle web barındırma sağlayıcıları ve Linux paylaşım ortamlarında yaygın olarak kullanılmaktadır. Ürün, son kullanıcılar tarafından değil, barındırma platformu seviyesinde kurulur. Bu nedenle, web sitesi sahipleri doğrudan bu yazılım ile etkileşimde bulunmazlar, fakat yazılım 56 milyon web sitesinde sessiz sedasız çalışmaktadır.
Açığın Teknik Detayları
Açığın kökeni, AI-bolit’in deşifre etme mantığından kaynaklanmaktadır. Bu mantık, saldırgan tarafından kontrol edilen fonksiyon isimlerini ve obfuscate edilmiş PHP dosyalarından çıkarılan verileri çalıştırabilmektedir. ‘call_user_func_array’ fonksiyonu kullanılarak, güvenliğin sağlanmadığı bir ortamda tehlikeli PHP fonksiyonları (system, exec, shell_exec, passthru, eval vb.) çalıştırılabilmektedir.
Patchstack, açığın etkin bir şekilde kötüye kullanılabilmesi için, Imunify360 AV’nin aktif deşifre etme işlemi gerçekleştirmesi gerektiğini belirtmiştir. Ancak, bağımsız AI-Bolit CLI’nın varsayılan yapılandırmasında bu işlem devre dışıdır. Buna karşın, Imunify360’ın entegre versiyonu, arka planda, kullanıcı tarafından başlatılan taramalar sırasında bu durumu zorlamaktadır ki bu da kötüye kullanıma olanak tanımaktadır.
Önerilen Çözüm ve Güncelleme
CloudLinux’un sunduğu düzeltme, yalnızca güvenli ve belirlenebilir fonksiyonların çalışmasına izin veren bir beyaz liste mekanizması eklemektedir. Bu, keyfi fonksiyonların çalıştırılmasını engellemektedir. Ancak, henüz resmi olarak bir tehdit ya da CVE-ID ile ilgili bilgi verilmediği için, sistem yöneticilerinin 32.7.4.0 ya da daha yeni bir sürüme geçmesi şiddetle önerilmektedir.
Son zamanlarda, tehlikenin büyüklüğünü göz önüne alan güvenlik uzmanları, mevcut sistemlerdeki olası ihlalleri kontrol etme ve tespit etme kılavuzlarının olmamasından dolayı endişelerini belirtmektedir. Şu an için aktif bir kötüye kullanım durumu olmasa da, kullanıcıların dikkatli olmaları gerekmektedir.
CloudLinux ile iletişime geçilmiş olmasına rağmen, konu hakkında henüz bir yanıt alınamamıştır, bu da durumun ciddiyetini ortaya koymaktadır.
