Recientemente se descubrió una vulnerabilidad crítica en Imunify360 AV, un escáner de seguridad utilizado por empresas de alojamiento web para proteger más de 56 millones de sitios web. Un aviso de la empresa de ciberseguridad Patchstack advierte que la vulnerabilidad puede permitir a los atacantes tomar el control total del servidor y de todos los sitios web que contiene.
Inmunificar360 APAGADO
Imunify360 AV es un sistema de escaneo de malware utilizado por múltiples empresas de hosting. La vulnerabilidad se descubrió dentro de su motor de escaneo de archivos AI-Bolit y dentro del módulo de escaneo de bases de datos separado. Debido a que tanto los escáneres de archivos como de bases de datos se ven afectados, los atacantes pueden comprometer el servidor a través de dos rutas, lo que puede permitir la toma total del servidor y potencialmente poner en riesgo millones de sitios web.
Patchstack compartió detalles del impacto potencial:
«Los atacantes remotos pueden incrustar PHP ofuscado específicamente diseñado que coincida con las firmas de desofuscación de imunify360AV (AI-bolit). El desofuscador ejecutará funciones extraídas en datos controlados por el atacante, permitiendo la ejecución de comandos arbitrarios del sistema o código PHP arbitrario. El impacto varía desde el compromiso del sitio web hasta la toma total del servidor dependiendo de la configuración y los privilegios del hosting.
La detección no es trivial porque las cargas útiles maliciosas están ofuscadas (escapes hexadecimales, cargas útiles empaquetadas, cadenas base64/gzinflate, transformaciones delta/ord personalizadas) y están destinadas a ser ofuscadas por la propia herramienta.
imunify360AV (Ai-Bolit) es un escáner de malware especializado en archivos relacionados con sitios web como php/js/html. De forma predeterminada, el escáner se instala como un servicio y funciona con privilegios de root.
Escalada de alojamiento compartido: en el alojamiento compartido, una explotación exitosa puede conducir a una escalada de privilegios y acceso raíz dependiendo de cómo se implemente el escáner y sus privilegios. Si imunify360AV o su contenedor se ejecuta con privilegios elevados, un atacante podría aprovechar RCE para pasar de un único sitio comprometido a un control completo del host”.
Patchstack muestra que el propio diseño del escáner proporciona a los atacantes tanto el método de entrada como el mecanismo de ejecución. La herramienta está diseñada para desofuscar cargas útiles complejas y esa capacidad se convierte en la razón por la que funciona el exploit. Una vez que el escáner decodifica las funciones proporcionadas por el atacante, puede ejecutarlas con los mismos privilegios que ya tiene.
En entornos donde el escáner opera con acceso elevado, una única carga maliciosa puede pasar de un compromiso a nivel de sitio web al control de todo el servidor de alojamiento. Esta conexión entre la desofuscación, el nivel de privilegios y la ejecución explica por qué Patchstack clasifica el impacto como que va hasta la toma total del servidor.
Dos rutas vulnerables: escáner de archivos y escáner de bases de datos
Los investigadores de seguridad descubrieron inicialmente una falla en el escáner de archivos, pero luego se descubrió que el módulo de escaneo de la base de datos era vulnerable de la misma manera. Según el anuncio: “el escáner de la base de datos (imunify_dbscan.php) también era vulnerable, y vulnerable exactamente de la misma manera.Ambos componentes de escaneo de malware (escáneres de archivos y bases de datos) pasan código malicioso a las rutinas internas de Imunify360 que luego ejecutan el código que no es de confianza, brindando a los atacantes dos formas diferentes de desencadenar la vulnerabilidad.
Por qué la vulnerabilidad es fácil de explotar
La parte de la vulnerabilidad del escáner de archivos requería que los atacantes colocaran un archivo dañino en el servidor en una ubicación que Imunify360 eventualmente escanearía. Pero la parte de la vulnerabilidad del escáner de base de datos solo necesita la capacidad de escribir en la base de datos, lo cual es común en las plataformas de alojamiento compartido.
Debido a que los formularios de comentarios, formularios de contacto, campos de perfil y registros de búsqueda pueden escribir datos en la base de datos, inyectar contenido malicioso resulta fácil para un atacante, incluso sin autenticación. Esto hace que la vulnerabilidad sea más amplia que una falla normal de ejecución de malware porque convierte una entrada común del usuario en un vector de vulnerabilidad para la ejecución remota de código.
Cronología de divulgación y silencio del proveedor
Según Patchstack, Imunify360 AV emitió un parche, pero no se hizo ninguna declaración pública sobre la vulnerabilidad ni se emitió ningún CVE para ello. Un CVE (vulnerabilidades y exposiciones comunes) es un identificador único asignado a una vulnerabilidad específica en el software. Sirve como registro público y proporciona una forma estandarizada de catalogar una vulnerabilidad para que las partes interesadas sean conscientes de la falla, particularmente para la gestión de riesgos. Si no se emite ningún CVE, es posible que los usuarios y usuarios potenciales no se enteren de la vulnerabilidad, aunque el problema ya esté incluido públicamente en Zendesk de Imunify360.
Patchstack explica:
“Esta vulnerabilidad se conoce desde finales de octubre y los clientes comenzaron a recibir notificaciones poco después, y recomendamos a los proveedores de alojamiento afectados que se comuniquen con el proveedor para obtener información adicional sobre una posible explotación en la naturaleza o cualquier resultado de investigación interna.
Desafortunadamente, el equipo de Imunify360 no ha emitido ninguna declaración sobre el problema y aún no se ha asignado ningún CVE. Al mismo tiempo, el número ha estado disponible públicamente en Zendesk desde el 4 de noviembre de 2025.
Según nuestra revisión de esta vulnerabilidad, consideramos que la puntuación CVSS es: 9,9”
Acciones recomendadas para administradores
Patchstack recomienda que los administradores del servidor apliquen inmediatamente las actualizaciones de seguridad del proveedor si ejecutan Imunify360 AV (AI-bolit) antes de la versión 32.7.4.0, o eliminen la herramienta si no es posible aplicar parches. Si no se puede aplicar un parche inmediato, se debe restringir el entorno de ejecución de la herramienta, como ejecutarla en un contenedor aislado con privilegios mínimos. También se insta a todos los administradores a comunicarse con el soporte de CloudLinux/Imunify360 para informar una posible exposición, confirmar si su entorno se vio afectado y colaborar en la orientación posterior al incidente.
Imagen destacada de Shutterstock/DC Studio
