El error Imunify360 deja los servidores web Linux abiertos para la ejecución y captura de código - Calendae | Informática, Electrónica, CMS, Ciberseguridad

El error Imunify360 deja los servidores web Linux abiertos para la ejecución y captura de código

Hola, ¿qué tal colega?. Te habla Eduardo Arroyo y hoy te voy a hablar sobre El error Imunify360 deja los servidores web Linux abiertos para la ejecución y captura de código

El error Imunify360 deja los servidores web Linux abiertos para la ejecución y captura de código

La plataforma de seguridad CloudLinux para sitios web y servidores web basados ​​en Linux contiene un error de deserialización de PHP de alta gravedad.

Según los investigadores, una vulnerabilidad de seguridad de alta gravedad en la plataforma de ciberseguridad Imunify360 de CloudLinux podría conducir a la ejecución de código arbitrario y la toma de control del servidor web.

Imunify360 es una plataforma de seguridad de servidor web basada en Linux que permite a los usuarios configurar varias configuraciones para la protección del sitio web en tiempo real y la seguridad del servidor web. Ofrece firewall avanzado, detección y prevención de intrusiones, escaneo de virus y antimalware, actualizaciones automáticas de parches del kernel y un sitio web. integración del panel de host para gestionar todo.

Según los investigadores de Cisco Talos, el error (CVE-2021-21956) existe específicamente en la función de escaneo Ai-Bolit de Imunift360, que permite a los webmasters y administradores del sitio buscar virus, vulnerabilidades y código de malware.

El error, que califica 8.2 sobre 10 en la escala de gravedad de vulnerabilidad CVSSv3.0, puede conducir a una condición de deserialización con datos auditables, lo que permitiría a un atacante ejecutar código arbitrario.

«A PHP no serializa la vulnerabilidad existe en la función Ai-Bolit de CloudLinux Inc Imunify360 5.8 y 5.9 «, según una publicación de la empresa, lanzado el lunes.

Añadió: «Para ser más precisos … dentro de la clase Deobfuscator, ai-bolit-hoster.php mantiene una lista de firmas (regex) que representan patrones de código generados por ofuscadores comunes … Cuando una determinada firma (regex) está dentro un archivo escaneado, se ejecuta el administrador de desofuscación correcto, que intenta extraer datos esenciales del código ofuscado «.

Este controlador, llamado «decodedFileGetContentsWithFunc», contiene una llamada a la función unserialize, sin embargo, no hay una desinfección de entrada para verificar si los datos de entrada de la función son maliciosos, lo que le da al atacante la oportunidad de ejecutar código arbitrario durante la cancelación de la serialización.

De forma predeterminada, el escáner Ai-Boilt se instala como un servicio y se ejecuta con privilegios de root, lo que le daría un control total a un atacante exitoso.

“Un archivo con formato incorrecto especialmente diseñado puede conducir a una posible ejecución de comandos arbitrarios. Un atacante podría proporcionar un archivo malicioso para activar esta vulnerabilidad ”, según el análisis de Cisco Talos (que también contiene un exploit de prueba de concepto).

En la práctica, hay un par de formas en que un atacante puede realizar un exploit en el mundo real, dijeron los investigadores. Por un lado, si Immunify360 está configurado con escaneo del sistema de archivos en tiempo real, el atacante solo necesita crear un archivo malicioso en el sistema, anotaron. O el atacante también podría entregar un archivo malicioso directamente al objetivo, lo que desencadenaría un exploit cuando un usuario lo escanea con el escáner Ai-Bolit.

Aquellos que usan Imunify360 para proteger sus servidores web Linux deben actualizar a la última versión de la plataforma para evitar ataques cibernéticos exitosos: contiene un parche.

A Marcin ‘Icewall’ Noga de Cisco Talos se le atribuye haber descubierto el error.

.

Puedes compartir en tu Facebook para que tus colegas lo vean

??? ? ? ???

Comparte

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *