Et alvorlig sikkerhetsproblem med PHP-deserialisering som fører til kjøring av kode har blitt rettet i Imunify360.
Oppdaget av Cisco Talos-forsker Marcin 'Icewall' Noga, kan sikkerhetsproblemet “forårsake en deserialiseringstilstand med kontrollerbare data og deretter utføre vilkårlig kode,” slik at nettservere blir åpne for kapring.
Sporet som CVE-2021-21956 og utstedt en CVSSv3-score på 8.2, er sikkerhetsfeilen tilstede i CloudLinuxs Imunify360 versjoner 5.8 og 5.9. Imunify360 er en sikkerhetspakke for Linux-webservere inkludert patchadministrasjon, domenesvartelisting og brannmurfunksjoner.
I en sikkerhetsrådgivning publisert på mandag sa Cisco Talos at feilen ble funnet i Ai-Bolit malware-skannerfunksjonaliteten til programvaren.
Ai-Bolit-komponenten brukes til å skanne og sjekke nettstedsrelaterte filer, slik som .php, .js eller .html-innhold, og er installert som en tjeneste med root-privilegier. Innenfor en deobfuscation-klasse av modulen betyr en svikt i å rense data som er sendt inn at vilkårlig kodekjøring kan utføres under unserialization.
Hvis programvaren er konfigurert for filsystemskanning i sanntid, kan angripere utløse et angrep ved å lage en ondsinnet fil på målserveren, eller hvis en bruker blir lurt til å utføre en skanning på en laget nyttelastfil på vegne av trusselaktøren.
Cisco rapporterte sine funn til leverandøren 1. oktober og det ble enighet om koordinert offentliggjøring. Linux-webutviklere som bruker Imunify360 bør oppgradere sine builds til den nyeste utgivelsen, i skrivende stund, versjon 6.1.
ZDNet har kontaktet leverandøren og vi vil oppdatere når vi hører tilbake.
Tidligere og relatert dekning
FBI-advarsel: Denne nulldagers VPN-programvarefeilen ble utnyttet av APT-hackere
Data fra millioner av brasilianere utsatt for lekkasje fra Wi-Fi-administrasjonsprogramvare
Facebooks Meta skyver tilbake Messenger- og Instagram-krypteringsplaner frem til 2023
Har du et tips? Ta kontakt sikkert via WhatsApp | Signal på +447713 025 499, eller over på Keybase: charlie0
Security TV | Databehandling | CXO | Datasentre