Un fallo de seguridad en el escáner Imunify360 AV ha sido detectado, afectando a plataformas de alojamiento web que protegen hasta 56 millones de sitios. Según la fuente, esta vulnerabilidad permite que atacantes tomen control total del servidor, poniendo en riesgo no solo un sitio, sino múltiples páginas alojadas. El problema radica en los componentes de análisis de archivos y bases de datos, que ejecutan código malicioso tras deobfuscarlo, según los datos facilitados.
De qué trata la vulnerabilidad en Imunify360 AV
Imunify360 AV es un escáner especializado en detectar malware en archivos web como PHP, JavaScript y HTML. La vulnerabilidad se encuentra en dos módulos clave del sistema: el escáner de archivos y el escáner de bases de datos. La fuente explica que al decodificar funciones malintencionadas, el escáner ejecuta código controlado por el atacante, aprovechando sus privilegios, que en muchos casos son los más altos (root), permitiendo así la ejecución remota de código y el control total del servidor.
Este fallo puede explotarse de dos maneras. Para el escáner de archivos, el atacante debe colocar un archivo malicioso en el servidor. Sin embargo, la vulnerabilidad en el escáner de bases de datos requiere solo la capacidad de escribir en la base de datos, algo común en plataformas de hosting compartido, según la fuente.
Por qué la vulnerabilidad es especialmente peligrosa
La facilidad de explotación es un aspecto crítico. La vulnerabilidad del escáner de bases de datos puede activarse a través de datos enviados por formularios comunes en sitios web, como comentarios o perfiles. Esto significa que un atacante no necesita autenticación para inyectar código malicioso, lo que amplía mucho el alcance del problema, de acuerdo con los expertos en seguridad.
Además, como el escáner de Imunify360 funciona con privilegios elevados, un solo ataque exitoso puede pasar de comprometer un sitio web a tomar control total del servidor que aloja a muchos sitios. Esta escalada de privilegios supone un riesgo extremadamente alto en entornos de hosting compartido.
La respuesta y medidas recomendadas según la fuente
El fabricante, CloudLinux, ha publicado un parche para corregir el fallo, concretamente para versiones anteriores a la 32.7.4.0 de Imunify360 AV, aunque aún no ha emitido un comunicado público oficial ni un identificador CVE que facilite la alerta y seguimiento a nivel global. Según la fuente, la falta de un CVE puede dificultar que muchos administradores detecten esta amenaza a tiempo.
Se recomienda encarecidamente a los administradores de hosting que apliquen las actualizaciones de seguridad lo antes posible. En caso de que no sea viable instalar el parche inmediatamente, sugieren restringir el entorno de ejecución del escáner, por ejemplo, mediante un contenedor aislado con privilegios mínimos.
Impacto en el ecosistema web y llamado a la acción
Este problema afecta a millones de sitios alojados en servidores Linux, especialmente bajo arquitectura de hosting compartido, donde la separación entre clientes es crucial para la seguridad. La fuente subraya que la amenaza no es solo individual, sino que puede comprometer a múltiples sitios simultáneamente, representando una vulnerabilidad a nivel masivo.
Se invita a los proveedores de alojamiento a contactar con el soporte de CloudLinux / Imunify360 para confirmar la exposición potencial de sus servidores, así como para colaborar en investigaciones post-incidente. La importancia de estas acciones radica en minimizar riesgos y mitigar posibles ataques antes de que se conviertan en incidentes graves.
El contexto de la seguridad en hosting compartido
Los servidores de hosting compartido, como se explica en la fuente, suelen alojar cientos de sitios diferentes al mismo tiempo. La vulnerabilidad en un componente de seguridad que tiene acceso a todos estos sitios puede ser catastrófica. El escáner vulnerable funciona con privilegios de root, lo que significa que la falla permite escalar la brecha desde a nivel de web hasta control total del servidor.
Por ello, expertos en seguridad digital alertan que la integridad y aislamiento entre sitios alojados debe reforzarse, y que esta vulnerabilidad evidencia un punto débil en las capas de defensa que algunos productos de seguridad para hosting no deben tener, según la fuente.
Recomendaciones para usuarios y administradores
Los usuarios de servicios de hosting afectados deben mantenerse alertas ante comunicados de sus proveedores y exigir actualizaciones o medidas de mitigación. Paralelamente, administradores de sistemas deben aplicar parches y limitar la ejecución del escáner para evitar explotación en el corto plazo.
La fuente aconseja además la monitorización continua de los servidores para detectar posibles infecciones, y revisar los registros de actividad para identificar comportamientos sospechosos que puedan indicar intento de ataque o explotación de la vulnerabilidad.
Fuente: https://www.searchenginejournal.com/server-security-scanner-vulnerability-affects-up-to-56m-sites/561196/