Un avis de la société de cybersécurité Patchstack avertit d’une importante vulnérabilité au sein de versions non corrigées de la plateforme de sécurité Imunify360 AV. Cette faille exposeraient une variété de plateformes d’hébergement qui servent jusqu’à 56 millions de sites web à une possible prise de contrôle complète du serveur.
Une vulnérabilité critique a récemment été découverte dans les scanner de sécurité Imunify360 AV. Celui-ci est utilisé par les sociétés d’hébergement web pour protéger plus de 56 millions de sites web.
Selon Patchstack, Imunify aurait manqué à son devoir d’informer le public à propos de cette vulnérabilité. Celle-ci pourrait permettre aux attaquants de prendre le contrôle total du serveur et de chaque site web qui s’y trouve. L’équipe d’Imunify aurait néanmoins omis de remplir un rapport CVE public afin d’avertir le public du danger.
Dans cet article, nous aborderons en détails les résultats de l’enquête effectuée par Patchstack. Nous verrons tout d’abord ce qu’est Imunify, et la nature de la vulnérabilité détectée.
Imunify360 AV
Imunify360 AV est un système de balayage de logiciels malveillants utilisé par plusieurs sociétés d’hébergement. La vulnérabilité a été découverte dans son moteur d’analyse de fichiers AI-Bolit et dans le module d’analyse de base de données séparé.
Il est important de noter que les scanners de fichiers et de bases de données sont affectés. Les attaquants peuvent donc compromettre le serveur via deux chemins. Cela peut alors permettre une prise de contrôle complète du serveur. La vulnérabilité peut donc potentiellement mettre en danger des millions de sites web.
Patchstack a partagé des détails sur l’impact potentiel de la vulnérabilité d’Imunify360 :
« Les attaquants distants peuvent intégrer des PHP obfusqués spécialement conçus qui correspondent à des signatures de déobfuscation imunify360AV (AI-bolit). Le deobfuscator exécutera les fonctions extraites sur les données contrôlées par l’attaquant, permettant ainsi l’exécution de commandes système arbitraires ou de code PHP arbitraire. L’impact va de la compromission du site web à la prise de contrôle complète du serveur en fonction de la configuration et des privilèges d’hébergement.
La détection n’est pas triviale parce que les payloads malveillants sont obfusqués (échappées hexadécimales, payloads emballés, chaînes base64/gzinflate, transformations delta/ord personnalisées) et sont destinés à être déobscurcis par l’outil lui-même.
imunify360AV (Ai-Bolit) est un scanner de malware spécialisé dans les fichiers liés aux sites web comme php/js/html. Par défaut, le scanner est installé en tant que service et fonctionne avec les privilèges root
Escalade de l’hébergement partagé : sur un hébergement partagé, une exploitation réussie peut entraîner une escalade des privilèges et un accès root en fonction de la façon dont le scanner est déployé et de ses privilèges. si imunify360AV ou son wrapper fonctionne avec des privilèges élevés, un attaquant pourrait utiliser RCE pour passer d’un seul site compromis à un contrôle complet de l’hôte. »
Patchstack a démontré que la conception du scanner elle-même, donne aux attaquants à la fois la méthode d’entrée et le mécanisme d’exécution.
L’outil est conçu pour démystifier des charges utiles complexes. Cette capacité devient la raison du fonctionnement de l’exploit. Une fois que le scanner décode les fonctions fournies par l’attaquant, il peut les exécuter avec les mêmes privilèges qu’il possède déjà.
Dans les environnements où le scanner fonctionne avec un accès élevé, une seule charge utile malveillante peut passer d’une compromission au niveau du site web au contrôle de l’ensemble du serveur d’hébergement.
Il y a ainsi une connexion entre la démystification, le niveau de privilège et l’exécution. Cela explique pourquoi Patchstack indique que l’impact peut aller jusqu’à la prise de contrôle complète du serveur.
Deux chemins vulnérables : scanner de fichiers et scanner de bases de données
Les chercheurs en sécurité ont initialement découvert un défaut dans le scanner de fichiers, mais le module d’analyse de la base de données s’est révélé vulnérable de la même manière. Selon l’annonce :
« Le scanner de la base de données (imunify_dbscan.php) était également vulnérable, et vulnérable exactement de la même manière. »
Les deux composants de l’analyse des programmes malveillants (scanners de fichiers et de bases de données) transmettent le code malveillant dans les routines internes d’Imunify360 qui exécutent ensuite le code non fiable. Il offre ainsi aux attaquants deux façons différentes de déclencher la vulnérabilité.
Pourquoi la vulnérabilité d’Imnify360 est-elle facile à exploiter
La partie scanner de fichiers de la vulnérabilité nécessitait que les attaquants placent un fichier nuisible sur le serveur dans un emplacement qu’Imunify360 finirait par analyser. Mais la partie base de données-scanner de la vulnérabilité n’a besoin que de la capacité à écrire dans la base de données, ce qui est courant sur les plateformes d’hébergement partagé.
Parce que les formulaires de commentaires, les formulaires de contact, les champs de profil et les journaux de recherche peuvent écrire des données dans la base de données, l’injection de contenu malveillant devient facile pour un attaquant, même sans authentification.
Cela rend la vulnérabilité plus large qu’un défaut d’exécution de malware normal car elle transforme une entrée utilisateur courante en vecteur de vulnérabilité pour l’exécution de code à distance.
Silence du fournisseur et délai de divulgation d’Imunify360 à propos de la vulnérabilité
Selon Patchstack, un correctif a été publié par Imunify360 AV. Aucune déclaration publique n’a toutefois été faite concernant la vulnérabilité. Aucun CVE n’a été publié à ce sujet, non plus. Un rapport CVE (Common Vulnerabilities and Exposures) est un identifiant unique attribué à une vulnérabilité spécifique dans le logiciel.
Celui-ci sert de dossier public et fournit une manière standardisée de cataloguer une vulnérabilité. Il permet ainsi aux parties intéressées d’être sensibilisées à la faille, notamment pour la gestion des risques.
Si aucun CVE n’est émis, les utilisateurs et les utilisateurs potentiels peuvent ne pas être informés de la vulnérabilité. Et ce, même si le problème est déjà publiquement répertorié sur le Zendesk d’Imunify360.
Patchstack explique :
« Cette vulnérabilité est connue depuis la fin octobre, et les clients ont commencé à recevoir des notifications peu de temps après, et nous conseillons aux fournisseurs d’hébergement concernés de contacter le fournisseur pour obtenir des informations supplémentaires sur une éventuelle exploitation dans la nature ou sur les résultats d’une enquête interne.
Malheureusement, aucune déclaration n’a été publiée sur le problème par l’équipe d’Imunify360, et aucun CVE n’a encore été attribué. En même temps, le problème est disponible publiquement sur leur Zendesk depuis le 4 novembre 2025.
Sur la base de notre examen de cette vulnérabilité, nous considérons que le score CVSS est de : 9,9. »
Actions recommandées pour les administrateurs
Patchstack recommande aux administrateurs de serveur d’appliquer immédiatement les mises à jour de sécurité du fournisseur si Imunify360 AV (AI-bolit) est exécuté avant la version 32.7.4.0, ou de supprimer l’outil si le correctif n’est pas possible.
Si un correctif immédiat ne peut pas être appliqué, l’environnement d’exécution de l’outil doit être restreint. Par exemple. il doit être exécuté dans un conteneur isolé avec des privilèges minimaux.
Tous les administrateurs sont également invités à contacter le support CloudLinux / Imunify360. Ils peuvent y signaler une exposition potentielle, confirmer si leur environnement a été affecté et collaborer sur des conseils post-incident.
Une note sur Patchstack, et son intérêt à critiquer Imunify360
La vulnérabilité détectée dans le scanner d’Imunify360 est loin d’être négligeable. Il est toutefois important de noter que l’enquête menée par Patchstack est loin d’être désintéressée.
Les deux entreprises sont des concurrents directs dans le domaine de la sécurité pour les services d’hébergement web. Patchstack se présente même directement comme une alternative à Imunify360, comparant directement ses services à ceux de son concurrent.
Il est donc important de noter l’intérêt direct de Patchstack à exposer les manquements potentiels d’Imunify. Ce qui est décrit comme un grave manque de transparence, n’est donc pas nécessairement dramatique à ce point.
Les développeurs d’Imunify360 ont bel et bien identifié, communiqué et corrigé la vulnérabilité très rapidement dans une mise à jour. L’absence de rapport CVE a toutefois potentiellement exposé certains fournisseurs d’hébergement, qui auraient peut-être effectué des mises à jour plus rapidement si cela avait été le cas.
La vaste majorité des hébergeurs web utilisant Imunify360 appliquent toutefois des mises à jour automatiques. Les sites web de leurs clients n’ont donc pas été inutilement exposé à la vulnérabilité, malgré l’absence de rapport.
Pour conclure sur la vulnérabilité de la plateforme de sécurité Imunify360
La vulnérabilité détectée dans l’outil de sécurité Imunify360 pourraient avoir exposer des millions de sites web à des risques importants. Aucune information n’indique toutefois que des pirates aient profiter de cette faille avant qu’elle ne soit corrigée.
La faille a rapidement été identifiée et corrigée par l’équipe de développement de la plateforme. Une enquête effectuée par l’entreprise rivale Patchstack a toutefois révélé un certain nombre de lacunes dans la gestion du problème.
Nous espérons que cet article vous a plus et vous a éclairé sur la vulnérabilité de Imunify360 qui a affecté des millions de sites web. Si c’est le cas, nous vous invitons à consulter nos autres articles et comparatifs de notre blog. Vous y trouverez les informations les plus récentes sur l’industrie l’hébergement et sur la création de sites web.
