Une faille de sécurité critique dans le scanner de malwares AI-Bolit d’Imunify a exposé des millions de serveurs d’hébergement web. Les chercheurs ont révélé cette vulnérabilité scanner sécurité entre les 16 et 18 novembre 2025. Elle permet aux attaquants d’exécuter du code arbitraire et d’obtenir un accès root sur les systèmes protégeant environ 56 millions de sites web mondiaux.
Vulnérabilité Scanner Sécurité : Une Faille Critique Découverte
CloudLinux, l’éditeur des produits Imunify, a publié un correctif le 23 octobre 2025. Au 17 novembre, la majorité des serveurs affectés avaient reçu des mises à jour automatiques. L’entreprise affirme qu’aucune preuve d’exploitation n’existe actuellement. De plus, aucune activité suspecte n’a été signalée par les clients.
La vulnérabilité cible la logique de désobfuscation du moteur d’analyse AI-Bolit. Plus précisément, elle exploite les fonctions deobfuscateDeltaOrd et deobfuscateEvalHexFunc dans ai-bolit-hoster.php. Ces fonctions appellent Helpers::executeWrapper() sans validation appropriée des entrées. Par conséquent, les attaquants peuvent créer des fichiers malveillants qui trompent le scanner.
Selon Patchstack, une entreprise de cybersécurité, les attaquants intègrent du code PHP obfusqué correspondant aux signatures d’Imunify. Le désobfuscateur exécute alors les fonctions extraites sur des données contrôlées par l’attaquant. Cela permet l’exécution de commandes système arbitraires.
Fonctionnement Détaillé de l’Attaque
L’attaque exploite une faiblesse dans le processus de désobfuscation du scanner. Les attaquants créent des payloads spécialement conçus contenant du code PHP obfusqué. Lorsque AI-Bolit analyse ces fichiers, il tente de désobfusquer le code pour identifier les malwares potentiels.
Cependant, le processus de désobfuscation exécute directement les fonctions extraites sans validation. En effet, les fonctions deobfuscateDeltaOrd et deobfuscateEvalHexFunc passent des chaînes non filtrées à Helpers::executeWrapper(). Cette fonction utilise call_user_func_array() pour exécuter le code.
Les attaquants exploitent ce mécanisme en intégrant des fonctions PHP dangereuses dans leurs payloads obfusqués. Notamment, ils utilisent system, exec, shell_exec, passthru ou eval. Ainsi, lorsque le scanner désobfusque le code malveillant, il exécute involontairement ces commandes dangereuses avec ses propres privilèges.
Escalade de Privilèges vers Root
Le scanner AI-Bolit fonctionne généralement avec des privilèges root par défaut. Cette configuration est nécessaire pour analyser tous les fichiers du système. Cependant, elle crée un risque de sécurité majeur en cas de vulnérabilité scanner sécurité.
Une exploitation réussie permet aux attaquants d’escalader leurs privilèges depuis un seul site web compromis. Ils obtiennent alors un contrôle complet des serveurs d’hébergement partagé. Cette escalade se produit instantanément lors de l’analyse du fichier malveillant.
Pour les environnements d’hébergement partagé, l’impact est catastrophique. Un attaquant compromettant un seul site web peut accéder à tous les autres sites hébergés sur le même serveur. De plus, il peut voler des données sensibles, installer des backdoors ou déployer des ransomwares.
Divulgation Responsable et Réponse Rapide
Le chercheur en sécurité Aleksejs Popovs a découvert la faille. Il a divulgué de manière responsable la vulnérabilité scanner sécurité à Imunify. Cette divulgation a déclenché une réponse rapide de l’entreprise.
CloudLinux a immédiatement développé un correctif de sécurité. L’entreprise l’a publié le 23 octobre 2025, près d’un mois avant la divulgation publique. Cette approche silencieuse visait à protéger l’infrastructure avant que les attaquants ne puissent exploiter la faille.
Le correctif implémente une liste blanche stricte de fonctions sûres. Désormais, seules les fonctions approuvées peuvent être exécutées par le désobfuscateur. Cela empêche l’exécution de fonctions PHP dangereuses via des payloads malveillants.
Produits Affectés et Versions Vulnérables
La faille affecte trois produits Imunify majeurs. Premièrement, Imunify360, la suite de sécurité complète pour serveurs Linux. Deuxièmement, ImunifyAV+, la version payante du scanner de malwares. Troisièmement, ImunifyAV, la version gratuite largement utilisée.
Toutes les versions antérieures à 32.7.4-1 contiennent la vulnérabilité scanner sécurité. Ces versions exécutent les fonctions de désobfuscation vulnérables sans validation appropriée. Par conséquent, elles exposent les serveurs à une compromission potentielle.
Selon les données d’Imunify d’octobre 2024, plus de 645 000 installations d’Imunify360 existent mondialement. Ces installations protègent environ 56 millions de sites web. Cette large adoption rend la vulnérabilité particulièrement critique pour l’écosystème de l’hébergement web.
Évaluation de la Gravité et Score CVSS
Bien qu’aucun identifiant CVE n’ait encore été attribué, Patchstack a évalué la gravité de la faille. L’entreprise lui a attribué un score CVSS estimé entre 8,2 et 9,9. Ce score place la vulnérabilité dans la catégorie « critique ».
Plusieurs facteurs justifient ce score élevé. D’abord, la vulnérabilité permet l’exécution de code arbitraire à distance. Ensuite, elle offre une escalade de privilèges vers root. Enfin, elle affecte des millions de serveurs d’hébergement web mondiaux.
L’absence d’exploitation dans la nature ne diminue pas la gravité. En effet, la divulgation publique augmente le risque d’exploitation. Les attaquants disposent maintenant des détails techniques nécessaires pour développer des exploits fonctionnels.
Déploiement Automatique des Correctifs
CloudLinux a déployé automatiquement les mises à jour de sécurité sur la majorité des serveurs. Au 17 novembre 2025, la plupart des installations Imunify avaient reçu le correctif. Cette distribution automatique a limité la fenêtre d’exposition des serveurs vulnérables.
Cependant, certains serveurs nécessitent une intervention manuelle. Les organisations ayant désactivé les mises à jour automatiques doivent vérifier manuellement leur version. De plus, les serveurs isolés sans accès Internet régulier peuvent ne pas avoir reçu le correctif.
Pour vérifier la version installée, les administrateurs doivent consulter les logs d’Imunify. Ils peuvent également exécuter des commandes de vérification de version. Toute version inférieure à 32.7.4-1 reste vulnérable et nécessite une mise à jour immédiate.
Mesures d’Atténuation Temporaires
Les organisations ne pouvant pas effectuer la mise à niveau immédiatement doivent appliquer des mesures temporaires. Premièrement, elles doivent désactiver les fonctionnalités d’analyse vulnérables. Cela réduit la surface d’attaque jusqu’au déploiement du correctif.
La désactivation s’effectue via des options de configuration spécifiques. Les administrateurs doivent définir enable_scan_pure_ftpd: False pour désactiver l’analyse FTP. De même, ils doivent définir scan_modified_files: False pour désactiver l’analyse des fichiers modifiés.
D’autres paramètres incluent la désactivation des analyses planifiées, des analyses en temps réel et des analyses de téléchargements ModSecurity. Ces mesures temporaires protègent les serveurs pendant la fenêtre de patching sans compromettre complètement la sécurité.
Absence d’Exploitation Confirmée
CloudLinux affirme qu’aucune preuve d’exploitation dans la nature n’existe. L’entreprise n’a détecté aucune activité suspecte liée à la vulnérabilité scanner sécurité. De plus, aucun client n’a signalé d’incident de sécurité lié à cette faille.
Cette absence d’exploitation s’explique par la stratégie de divulgation. CloudLinux a silencieusement corrigé la vulnérabilité avant la divulgation publique. Cette approche a empêché les attaquants d’exploiter la faille avant le déploiement des correctifs.
Néanmoins, les organisations doivent rester vigilantes. La divulgation publique fournit maintenant les détails techniques aux acteurs malveillants. Par conséquent, le risque d’exploitation future augmente pour les serveurs non patchés restants.
Impact sur l’Écosystème d’Hébergement Web
La vulnérabilité souligne un risque critique pour l’industrie de l’hébergement web. Les outils de sécurité eux-mêmes peuvent devenir des vecteurs d’attaque lorsqu’ils contiennent des failles. En effet, un scanner de malwares vulnérable crée un paradoxe de sécurité.
Les hébergeurs font confiance à Imunify pour protéger leurs infrastructures. Ils lui accordent des privilèges root pour analyser tous les fichiers système. Cette confiance devient dangereuse lorsqu’une vulnérabilité scanner sécurité permet l’exécution de code arbitraire.
L’incident rappelle l’importance de maintenir les mises à jour automatiques activées. De plus, il souligne la nécessité d’une surveillance continue pour détecter les activités suspectes. Les hébergeurs doivent également implémenter des défenses en profondeur pour limiter l’impact des compromissions.
Recommandations pour les Administrateurs
Les administrateurs doivent immédiatement vérifier la version d’Imunify installée sur leurs serveurs. Toute version antérieure à 32.7.4-1 nécessite une mise à jour urgente. Cette vérification doit inclure tous les serveurs d’hébergement partagé et VPS.
Pour les serveurs déjà patchés, les administrateurs doivent vérifier les logs d’analyse récents. Ils doivent rechercher des tentatives d’exploitation ou des comportements anormaux. Les fichiers suspects identifiés avant le patching méritent une investigation approfondie.
Les organisations doivent maintenir les mises à jour automatiques activées pour les produits Imunify. De plus, elles doivent implémenter une surveillance continue de l’activité système. Enfin, elles doivent maintenir des sauvegardes régulières pour faciliter la récupération en cas de compromission.
Leçons pour la Sécurité des Outils de Protection
Cet incident illustre un défi majeur de la cybersécurité moderne. Les outils conçus pour protéger les systèmes peuvent eux-mêmes introduire des vulnérabilités critiques. Cette ironie souligne l’importance d’audits de sécurité rigoureux pour tous les logiciels.
Les scanners de malwares traitent par nature du code potentiellement malveillant. Par conséquent, ils doivent implémenter des mesures de sécurité strictes pour isoler ce code. Notamment, ils doivent valider toutes les entrées avant exécution et limiter les privilèges lorsque possible.
L’avenir de la sécurité nécessite une approche de confiance zéro. Même les outils de sécurité doivent fonctionner dans des environnements isolés avec des privilèges minimaux. Cette approche limite l’impact des vulnérabilités dans les outils de protection eux-mêmes.
Protégez Vos Serveurs Dès Maintenant
Avez-vous vérifié que vos serveurs Imunify sont à jour ? Cette vulnérabilité scanner sécurité rappelle que même les outils de protection nécessitent une vigilance constante. Les scanners de malwares peuvent devenir des vecteurs d’attaque lorsqu’ils contiennent des failles critiques.
Partagez vos expériences de gestion de cette vulnérabilité dans les commentaires. Comment votre organisation maintient-elle la sécurité de ses outils de protection ? Quelles mesures supplémentaires avez-vous implémentées pour protéger vos environnements d’hébergement partagé ?
