Bug Imunify360 Meninggalkan Server Web Linux Terbuka untuk Eksekusi Kode, Pengambilalihan

Kerentanan keamanan tingkat tinggi
A di platform keamanan siber Imunify360 CloudLinux dapat menyebabkan eksekusi kode arbitrer dan pengambilalihan server web, menurut peneliti.

Imunify360 adalah platform keamanan untuk server web berbasis Linux yang memungkinkan pengguna mengonfigurasi berbagai pengaturan untuk situs web waktu nyata perlindungan dan keamanan server web. Ini menawarkan firewall canggih, deteksi dan pencegahan intrusi, pemindaian antivirus dan antimalware, pembaruan patch kernel otomatis, dan integrasi panel host web untuk mengelola semuanya.

Menurut peneliti di Cisco Talos, bug (CVE-2021-21956) secara khusus berada dalam fungsi pemindaian Ai-Bolit dari Imunift360, yang memungkinkan webmaster dan administrator situs untuk mencari virus, kerentanan, dan kode malware.

Bug, yang memberi peringkat 8,2 dari 10 pada skala kerentanan-keparahan CVSSv3.0, dapat menyebabkan kondisi deserialisasi dengan data yang dapat dikontrol yang akan memungkinkan penyerang untuk kemudian mengeksekusi kode arbitrer.

“Kerentanan unserialize PHP ada dalam fungsionalitas Ai-Bolit dari CloudLinux Inc Imunify360 5.8 dan 5.9,” menurut sebuah posting dari perusahaan, yang dikeluarkan pada hari Senin .

It menambahkan, “Untuk lebih tepatnya…di dalam kelas Deobfuscator, ai-bolit-hoster.php menyimpan daftar tanda tangan (regex) yang mewakili pola kode yang dihasilkan ed oleh obfuscator umum…Ketika tanda tangan tertentu (regex) ada di dalam file yang dipindai, handler penghilangan kebingungan yang tepat dijalankan, yang mencoba mengeluarkan data penting dari kode yang dikaburkan.”

Penangan ini, disebut “decodedFileGetContentsWithFunc,” berisi panggilan ke fungsi unserialize – namun, tidak ada sanitasi input untuk memeriksa apakah data input fungsi tersebut berbahaya, sehingga memberikan penyerang kesempatan untuk mengeksekusi kode arbitrer selama unserialization.

Secara default, pemindai Ai-Boilt diinstal sebagai layanan dan berfungsi dengan hak akses root, yang akan memberikan kontrol penuh kepada penyerang yang berhasil.

Exploitation

“File cacat yang dibuat secara khusus dapat menyebabkan kemungkinan eksekusi perintah arbitrer. Penyerang dapat menyediakan file berbahaya untuk memicu kerentanan ini,” menurut analisis Cisco Talos (yang juga berisi eksploitasi bukti konsep).

Dalam praktiknya, ada beberapa cara bagi penyerang untuk melakukan eksploitasi di dunia nyata, kata para peneliti. Pertama, jika Imunify360 dikonfigurasi dengan pemindaian sistem file waktu nyata, penyerang hanya perlu membuat file berbahaya di sistem, catat mereka. Atau, penyerang juga dapat memberikan file berbahaya langsung ke target, yang akan memicu eksploitasi saat pengguna memindainya dengan pemindai Ai-Bolit.

Mereka yang menggunakan Imunify360 untuk melindungi server web Linux mereka harus meningkatkan ke versi platform terbaru – yang berisi tambalan – untuk mencegah serangan siber yang berhasil.

Marcin “Icewall” Noga dari Cisco Talos dikreditkan dengan menemukan bug.

Ada lautan data tidak terstruktur di internet yang berkaitan dengan ancaman keamanan terbaru. DAFTAR HARI INI untuk mempelajari konsep kunci pemrosesan bahasa alami (NLP) dan cara menggunakannya untuk menavigasi lautan data dan menambahkan konteks ke ancaman keamanan siber (tanpa menjadi ahli!). Balai Kota Threatpost interaktif LANGSUNG ini, disponsori oleh Rapid 7, akan menampilkan peneliti keamanan Erick Galinkin dari Rapid7 dan Izzy Lazerson dari IntSights (perusahaan Rapid7), ditambah jurnalis Threatpost dan pembawa acara webinar, Becky Bracken.
Tulis komentar
Bagikan artikel ini:

  • Vulnerabilitiesli

    <

    ul>uliWeb Securityli

    <

    ul>uu

  • Wagiman Wiryosukiro

    Petani Sistem Informasi, tukang las plugin & themes Wordpress. Co-Founder SistemInformasi.biz. Saat ini aktif sebagai Developer & kontributor di OpenMandriva Linux.

    You may also like...

    %d bloggers like this: