Imunify360は、広い範囲の機能を提供するセキュリティ製品です。
WAF(Webアプリケーションファイアウォール)機能、マルウェアスキャン機能、PHP延長サポート機能、などをはじめとした機能を多数搭載し、利用環境の安全を向上させます。
この製品は多くのクラウドサービスでオプションとして提供されており、その適用されているWebサイトの数は数千万と考えられます。
高機能なソフトウェアは複雑な仕組みで動作します。
複雑なソフトウェアには、仕様上、あるいは、実装上の問題が含まれてしまう例は多くあります。
Imunify360のAI-Bolit機能で、RCE(リモートコード実行)の脆弱性が確認されています。
- AI-bolitの難読化解除ロジックの問題
この問題には2025年11月10日時点ではCVE番号が割り当てられていません。
AI-bolitの難読化解除ロジックは、マルウェアをスキャンするために解凍しようとするときに、攻撃者が制御する関数名と難読化されたPHPファイルから抽出されたデータを実行します。
スキャンしようとする行為の手前で検査対象の文字列の検証を十分に実施できていないことから、この問題は実現してしまうこととなっています。
脆弱な製品のバージョンの難読化解除ロジックは、スキャン時に検査対象の関数の名称を検証することなく検査機構に入力します。
このときに関数名に細工された文字列が含まれる状態になっている場合に脅威アクターの意図する動作を実行してしまうことになってしまいます。
難読化解除ロジックと聞くとそれは効果的な検査機構であると感じますが、この例では、これが逆に作用してしまっていることが残念です。
この難読化解除ロジックは、標準設定で有効となっています。
研究者は、この脆弱性に対して、スキャン時にリモートコード実行をトリガーする概念実証(PoC)エクスプロイトを公開しました。
この脆弱性が存在するままの環境では、Webサイト全体が侵害される可能性があり、共有ホスティングセットアップでスキャナーが昇格された権限で実行されると、サーバ全体が乗っ取られる可能性もあります。
対策はいつも通り、対策済みの新しいバージョンを利用することです。
今回の場合、v32.7.4.0以降にアップグレードすることになります。
暫定対策用に過去のバージョンへのパッチも提供されていますが、総合的に考えると、新しいバージョンに更新することが望ましいと考えられます。
ソフトウェアに問題が含まれていることがわかることそのものは仕方のないことに思えます。
高度化する仕組みが完全無欠のままであることを期待することは現実的に難しそうです。
そうなると、必要なのは、やはり適切なパッチケイデンスの維持です。
提供者として、あるいは、利用者として、可能な安全対策として環境の更新を継続的に実施していきましょう。
Critical: Remote Code Execution via Malicious Obfuscated Malware in Imunify360 AV (AI-bolit)
https://patchstack.com/articles/remote-code-execution-vulnerability-found-in-imunify360/
| この記事をシェア |
|
|---|
