Imunify360 AV Açığı: 56 Milyon Site Ele Geçirme Tehdidi Altında

Yaygın olarak kullanılan bir güvenlik tarayıcısı olan Imunify360 AV'deki kritik bir güvenlik açığı, 56 milyona kadar web sitesini tam sunucu ele geçirme riskine açık hale getirdi. Siber güvenlik firması Patchstack yakın zamanda bu açığı ortaya çıkardı ve yamalanmamış sürümlerin saldırganların barındırma platformları ile hizmet verdikleri tüm siteler üzerinde tam kontrol sağlamasına olanak tanıyabileceği konusunda uyardı. Bu uzaktan kod çalıştırma (RCE) açığı, özellikle paylaşımlı barındırma ortamları için ciddi bir risk teşkil ediyor.

Imunify360 AV Güvenlik Açığını Anlamak

Imunify360 AV, çok sayıda barındırma sağlayıcısı tarafından altyapılarını korumak için kullanılan sağlam bir kötü amaçlı yazılım tarama sistemidir. Yeni tespit edilen açık, AI-Bolit dosya tarama motorunda ve ayrı bir veritabanı tarama modülünde bulunuyor. Bu çifte güvenlik açığı, saldırganların sunucuları tehlikeye atmak için iki farklı yola sahip olduğu, potansiyel olarak tam sunucu ele geçirilmesine yol açabileceği ve milyonlarca barındırılan web sitesini tehlikeye atabileceği anlamına geliyor.

Patchstack, potansiyel etkiyi detaylandırarak şunları açıkladı: "Uzaktan saldırganlar, imunify360AV (AI-bolit) deobfuscation imzalarıyla eşleşen özel olarak hazırlanmış gizlenmiş PHP kodunu yerleştirebilir. Deobfuscator, saldırgan tarafından kontrol edilen veriler üzerinde çıkarılan fonksiyonları çalıştıracak ve rastgele sistem komutlarının veya rastgele PHP kodunun yürütülmesine izin verecektir. Etki, barındırma yapılandırmasına ve ayrıcalıklara bağlı olarak web sitesi güvenliğinin ihlalinden tam sunucu ele geçirilmesine kadar değişmektedir."

Firma ayrıca tespitin zorluğunu vurgulayarak şunları belirtti: "Tespit önemsiz değildir çünkü kötü amaçlı yükler gizlenmiştir (hex kaçışları, paketlenmiş yükler, base64/gzinflate zincirleri, özel delta/ord dönüşümleri) ve aracın kendisi tarafından gizliliği kaldırılmak üzere tasarlanmıştır."

En önemlisi, Imunify360 AV (Ai-Bolit) web sitesiyle ilgili dosyalarda uzmanlaşmış bir kötü amaçlı yazılım tarayıcısıdır ve varsayılan olarak "bir hizmet olarak kurulur ve root ayrıcalıklarıyla çalışır." Bu yükseltilmiş erişim, paylaşımlı barındırmada "başarılı bir istismarın ayrıcalık yükseltilmesine ve root erişimine yol açabileceği... bir saldırganın RCE'yi kullanarak tek bir ele geçirilmiş siteden tam ana bilgisayar kontrolüne geçebileceği" anlamına gelir.

Tarayıcının kendi tasarımı, paradoksal olarak istismarı kolaylaştırmaktadır. Karmaşık yüklerin gizliliğini kaldırma yeteneği, saldırganların kullandığı mekanizma haline gelir. Tarayıcı, saldırgan tarafından sağlanan işlevleri çözdüğünde, bunları mevcut, genellikle yükseltilmiş ayrıcalıklarıyla yürütür. Gizliliğin kaldırılması, ayrıcalık düzeyi ve yürütme arasındaki bu doğrudan bağlantı, Patchstack'in potansiyel etkiyi tam sunucu ele geçirilmesine kadar uzanan ciddi olarak derecelendirmesinin nedenini vurgulamaktadır.

İstismara İki Yol: Dosya ve Veritabanı Tarayıcıları

Başlangıçta, güvenlik araştırmacıları dosya tarayıcısında bir açık tespit etti. Ancak, daha fazla araştırma, veritabanı tarama modülünün de tamamen aynı şekilde savunmasız olduğunu ortaya koydu. Hem dosya hem de veritabanı kötü amaçlı yazılım tarama bileşenleri, kötü amaçlı kodu Imunify360'ın dahili rutinlerine aktarır ve bu rutinler daha sonra güvenilmeyen kodu yürütür. Bu, saldırganlara uzaktan kod çalıştırma açığını tetiklemek için iki farklı yöntem sunar.

Bu Güvenlik Açığı Neden Kolay İstismar Edilebilir?

Dosya tarayıcısı açığını istismar etmek, saldırganın Imunify360'ın sonunda tarayacağı bir konuma zararlı bir dosya yerleştirmesini gerektirir. Ancak, veritabanı tarayıcısı açığı önemli ölçüde daha kolay istismar edilebilir; yalnızca veritabanına yazma yeteneği gerektirir ki bu, paylaşımlı barındırma platformlarında yaygın bir özelliktir.

Yorum formları, iletişim formları, profil alanları ve arama kayıtları gibi yaygın kullanıcı girdileri bir veritabanına veri yazabildiğinden, kötü amaçlı içerik enjekte etmek, önceden kimlik doğrulaması olmasa bile bir saldırgan için basit hale gelir. Bu durum, güvenlik açığının kapsamını tipik kötü amaçlı yazılım yürütme kusurlarının ötesine genişleterek, rutin kullanıcı girdisini uzaktan kod çalıştırma için güçlü bir vektöre dönüştürür.

Satıcı Sessizliği ve Açıklama Zaman Çizelgesi Endişeleri

Patchstack'e göre, güvenlik açığı için Imunify360 AV tarafından bir yama yayınlandı. Ancak, konuyla ilgili herhangi bir kamuoyu açıklaması yapılmadı ve bir CVE (Common Vulnerabilities and Exposures) tanımlayıcısı atanmadı. Bir CVE, yazılım güvenlik açıklarının standartlaştırılmış, herkese açık bir kaydını sağlar; risk yönetimi ve etkilenen tarafların açıktan haberdar olmasını sağlamak için kritik öneme sahiptir.

Patchstack şunları kaydetti: "Bu güvenlik açığı Ekim sonundan beri biliniyor ve müşteriler kısa bir süre sonra bildirimler almaya başladı... Ne yazık ki, Imunify360 ekibi tarafından konuyla ilgili herhangi bir açıklama yapılmadı ve henüz bir CVE atanmadı. Aynı zamanda, sorun 4 Kasım 2023'ten beri Zendesk'lerinde herkese açık olarak mevcuttu."

İncelemelerine dayanarak, Patchstack bu güvenlik açığının CVSS (Common Vulnerability Scoring System) puanını kritik bir 9.9 olarak değerlendiriyor.

Herkese açık bir açıklama veya CVE'nin olmaması, yamanın mevcut olmasına ve sorunun Imunify360'ın Zendesk'inde listelenmesine rağmen birçok kullanıcının ve potansiyel kullanıcının kritik güvenlik açığından habersiz kalabileceği endişesini artırıyor.

Yöneticiler İçin Önerilen Eylemler

Patchstack, 32.7.4.0 öncesi Imunify360 AV (AI-bolit) sürümlerini çalıştıran sunucu yöneticilerini acil önlem almaya çağırıyor:

• Satıcı Güvenlik Güncellemelerini Uygulayın: Imunify360 AV'yi derhal en son yamalı sürüme güncelleyin.
• Yama Yapılamıyorsa Aracı Kaldırın: Acil bir yama uygulanamıyorsa, aracı geçici olarak kaldırmayı düşünün.
• Yürütme Ortamını Kısıtlayın: Kaldırma veya acil yama mümkün değilse, aracın yürütme ortamını kısıtlayın. Bu, aracı minimum ayrıcalıklarla izole bir kapsayıcıda çalıştırmayı içerir.
• Desteğe Başvurun: Tüm yöneticilerin, potansiyel maruziyeti bildirmek, ortamlarının etkilenip etkilenmediğini doğrulamak ve olay sonrası rehberlik konusunda işbirliği yapmak için CloudLinux / Imunify360 desteğiyle iletişime geçmeleri şiddetle tavsiye edilir.

Bu kritik Imunify360 AV güvenlik açığının oluşturduğu önemli riskleri azaltmak ve barındırılan web sitelerini potansiyel sunucu ele geçirmesinden korumak için hızlı hareket etmek çok önemlidir.