Linux 服务器专用恶意软件扫描工具 ImunifyAV 存在远程代码执行漏洞，攻击者可利用该漏洞入侵主机环境。这款工具目前已被数千万个网站采用。

该漏洞影响 AI-bolit 恶意软件扫描组件的 32.7.4.0 版本之前的所有版本。该组件集成于 Imunify360 安全套件、付费版 ImunifyAV+，以及免费版恶意软件扫描工具 ImunifyAV 中。

据安全公司 Patchstack 透露，该漏洞已于 10 月底被发现，工具开发商 CloudLinux 当时已发布修复补丁。目前该漏洞尚未分配 CVE 编号。

11 月 10 日，开发商将该补丁反向移植到旧版本 Imunify360 AV 中。在最新发布的安全公告中，CloudLinux 警告用户该漏洞属于 " 高危安全漏洞 "，建议 " 尽快 " 将软件升级至 32.7.4.0 版本。

工具应用范围广泛

ImunifyAV 是 Imunify360 安全套件的组成部分，主要用于虚拟主机服务商或通用 Linux 共享主机环境。该产品通常在主机平台层面安装，而非由终端用户直接部署。它在共享主机方案、托管式 WordPress 主机、cPanel/WHM 服务器及 Plesk 服务器中应用极为普遍。

据 Imunify 2024 年 10 月公布的数据，虽然网站管理员很少直接与该工具交互，但它仍是一款无处不在的后台工具，默默为 5600 万个网站提供防护，且 Imunify360 的安装量已超过 64.5 万次。

漏洞成因与利用条件

该漏洞的根源在于 AI-bolit 组件的反混淆逻辑：当工具尝试解包恶意软件以进行扫描时，会执行从混淆 PHP 文件中提取的、由攻击者控制的函数名和数据。

这一问题的核心是工具使用了 "call_user_func_array" 函数，但未对函数名进行验证，导致攻击者可执行 system、exec、shell_exec、passthru、eval 等危险 PHP 函数。

Patchstack 指出，利用该漏洞的前提是 Imunify360 AV 在分析环节启用主动反混淆功能——独立版 AI-Bolit 命令行工具（CLI）的默认配置中，该功能处于禁用状态。

但 Imunify360 套件中集成的扫描组件，会强制在后台扫描、按需扫描、用户发起扫描及快速扫描中保持 " 始终开启 " 反混淆功能，这恰好满足了漏洞利用的条件。

研究人员已公开一个概念验证（PoC）漏洞利用代码：在 tmp 目录创建一个 PHP 文件，当杀毒工具扫描该文件时，就会触发远程代码执行。

概念验证利用

这可能导致整个网站被入侵，若扫描工具在共享主机环境中以高权限运行，还可能引发服务器完全被接管的严重后果。

CloudLinux 的修复方案新增了白名单机制，仅允许安全、确定的函数在反混淆过程中执行，从而阻止任意函数调用。

尽管开发商未发布明确警告，也未分配便于预警和追踪的 CVE 编号，但系统管理员仍应将软件升级至 32.7.4.0 版本或更高版本。

目前，官方尚未提供漏洞入侵检测方法、检测指南，也未确认该漏洞是否已被在野利用。随后，Patchstack 研究人员经进一步检测发现，该漏洞的严重程度超出最初预期——存在一种更简易的利用途径，无需上传恶意软件即可发起攻击。