Een ernstige kwetsbaarheid voor deserialisatie van PHP die leidt tot het uitvoeren van code, is gepatcht in Imunify360.
Ontdekt door Cisco Talos-onderzoeker Marcin 'Icewall' Noga, kan de kwetsbaarheid “een deserialisatieconditie veroorzaken met controleerbare gegevens en vervolgens willekeurige code uitvoeren”, waardoor webservers openstaan voor kaping.
Gevolgd als CVE-2021-21956 en met een CVSSv3-score van 8,2, is de beveiligingsfout aanwezig in Imunify360-versies 5.8 en 5.9 van CloudLinux. Imunify360 is een beveiligingssuite voor Linux-webservers, inclusief patchbeheer, domeinblacklisting en firewallfuncties.
In een beveiligingsadvies dat maandag werd gepubliceerd, zei Cisco Talos dat de fout werd gevonden in de Ai-Bolit-malwarescannerfunctionaliteit van de software.
De Ai-Bolit-component wordt gebruikt om websitegerelateerde bestanden, zoals .php, .js of .html-inhoud, te scannen en te controleren en wordt standaard geïnstalleerd als een service met rootrechten. Binnen een deobfuscatieklasse van de module betekent een fout bij het opschonen van ingediende gegevens dat uitvoering van willekeurige code kan worden uitgevoerd tijdens het verwijderen van de serienummers.
Als de software is geconfigureerd voor realtime scannen van bestandssystemen, kunnen aanvallers een aanval starten door een kwaadaardig bestand op de doelserver te maken, of als een gebruiker wordt misleid om namens de dreigingsacteur een scan uit te voeren op een vervaardigd payload-bestand.
Cisco rapporteerde zijn bevindingen op 1 oktober aan de leverancier en er werd overeenstemming bereikt over gecoördineerde openbaarmaking. Linux-webontwikkelaars die Imunify360 gebruiken, moeten hun builds upgraden naar de nieuwste release, op het moment van schrijven, versie 6.1.
ZDNet heeft contact opgenomen met de leverancier en we zullen updaten wanneer we iets horen.
Eerdere en gerelateerde berichtgeving
FBI-waarschuwing: deze zero-day VPN-softwarefout werd uitgebuit door APT-hackers
Gegevens van miljoenen Brazilianen blootgelegd in lekken van wifi-beheersoftwarebedrijf
Meta van Facebook stelt versleutelingsplannen voor Messenger en Instagram uit tot 2023
Heeft u een tip? Veilig contact opnemen via WhatsApp | Signaal op +447713 025 499, of via Keybase: charlie0
Security TV | Gegevensbeheer | CXO | Datacenters