Imunify360 の重大な脆弱性 CVE-N/A が FIX：5,600 万以上の Web サイトが危険な状況

Critical Imunify360 Vulnerability Exposes Millions of Linux-Hosted Sites to RCE Attacks

2025/11/14 gbhackers — 世界中で約 5,600 万の Web サイトを保護するセキュリティ製品 Imunify360 AV の、深刻なリモート・コード実行 (RCE) 脆弱性 CVE-N/A が修正された。そのため、ホスティング企業にとって必要なことは、直ちにパッチを適用し、サーバ侵害を防ぐことである。この脆弱性の詳細は 2024年10月下旬に報告され始め、影響を受けるホスティング・プロバイダーにはサーバの完全性の確認が求められてきた。しかし、深刻な脆弱性にもかかわらず、Imunify360 チームは公式声明を発表しておらず、CVE 識別子も割り当てられていない。この問題は 2025年11月4日の時点で、Zendesk サポート・ポータルにひっそりと記載され、推定 CVSS スコア 8.2 と評価されている。

脆弱性の概要

Imunify360 AV (AI-Bolit) のバージョン v32.7.4.0 以下に存在する、リモート・コード実行の欠陥をセキュリティ研究者たちは発見した。マルウェア・サンプルから抽出される、信頼できない関数やペイロードに対する難読化解除ロジックが、この脆弱性の原因となっている。

このロジックを組み込んだ難読化解除ツールが悪意のファイルを処理する際に、system()／exec()／shell_exec()／passthru()／eval() などの危険な PHP 関数を呼び出す可能性がある。したがって悪用に成功した攻撃者は、任意のコマンド実行やホスティング環境の完全な侵害が可能となる。

この脆弱性を悪用する攻撃者は、Imunify360 AV の難読化解除シグネチャをトリガーするための、特別に細工された難読化 PHP コードを埋め込むことが可能だ。この悪意のコードが処理されると、攻撃者が制御するデータに対して、難読化解除ツールは関数を抽出して実行するため、任意のシステム・コマンドまたは PHP コードの実行が許可されてしまう。

この脆弱性が及ぼす影響の範囲は、ホスティング・コンフィグと権限レベルに応じて、個々の Web サイト侵害からサーバ全体の乗っ取りまでの多岐にわたる。

また、悪意のペイロードは高度な難読化手法である、16 進エスケープ／パックされたペイロード／base64/gzinflate チェーン／カスタム Delta Ord 変換などを用いることで、難読化が解除されるまで検出を回避するよう設計されている。

Imunify360 AV は、PHP／JavaScript／HTML などの Web サイト・ファイルに特化したマルウェア・スキャナとして動作するものだ。さらに、デフォルトでは、スキャナが root 権限を持つサービスとして実行されるため、共有ホスティング環境では深刻な権限昇格リスクが生じる。つまり、この脆弱性の悪用に成功した攻撃者は、単一の侵害された Web サイトからホスト全体の制御権を奪う可能性を得る。

この脆弱性は、難読化解除エンジン内に存在する２つの問題のあるコードフローに起因する。具体的にいうと、eval-hex 関数パターンは 16 進数でエンコードされた関数名を含む難読化コードと一致し、Delta/Ord フローは Helpers::executeWrapper を介して文字列と復元された関数名を処理してしまう。どちらのフローも、関数の安全性を十分に検証しておらず、危険なシステム関数の実行を許してしまう。

さらに深刻なのは、CLI のデフォルトでは、高度な難読化の解除が無効化されているが、Python スキャナ・ラッパーが難読化の解除を自動的に有効化してしまう点である。その対象となるスキャン・タイプは、バックグラウンド・スキャン／オンデマンド・スキャン／ユーザー開始スキャン／迅速なアカウント・スキャンなどである。

Imunify360 の開発元である CloudLinux は、正式なセキュリティ・アドバイザリや CVE 開示を発行していない。公開された唯一の情報は Zendesk の簡潔な記事だけである。2021 年には Talos Intelligence が類似のインシデントを報告しており、今回のインシデントは、Imunify360 における２件目の深刻な RCE 脆弱性となる。

Imunify360 AV のバージョン v32.7.4.0 以下を運用中の管理者は、直ちにベンダ提供のセキュリティ更新を適用する必要がある。迅速なパッチ適用が不可能な場合には、ネットワーク・アクセスを持たない隔離コンテナ内で、最小限の権限でスキャナを実行することが望ましい。

管理者は CloudLinux サポートに連絡し、侵害状況の確認とインシデント後のガイダンスを取得すべきである。

本来はマルウェアを見つけ出すという役割を担う Imunify360 AV の、難読化解除ロジックが攻撃の入り口になっていました。攻撃者が用意した難読化 PHP コードを、関数名の安全性を確かめることなく、eval や system などの危険な関数として実行してしまう設計が、深刻な RCE の原因になっているようです。さらにスキャナが root 権限で動作し、Python ラッパーが自動で高度な難読化解除を有効にしてしまうため、１サイトのファイルからサーバ全体の侵害につながり得ると、この記事は指摘しています。ご利用のチームは、ご注意ください。