博士

ロボ子、Imunify360 AVの脆弱性について聞いたかのじゃ？

ロボ子

はい、博士。v32.7.4.0より前のバージョンにリモートコード実行の脆弱性があるそうですね。CVSSスコアは8.1とかなり高い評価です。

博士

そうなんじゃ。マルウェアに含まれる難読化されたPHPコードを解析する際に、攻撃者が制御する関数が実行されてしまうらしいのじゃ。

ロボ子

難読化解除機能に問題があるとのことですが、具体的にはどのような仕組みなのでしょうか？

博士

Eval-hex関数パターンとDelta/Ordフローという2つのフローが問題らしいのじゃ。これらのフローがHelpers::executeWrapperを使って、安全でない関数を実行してしまう可能性があるのじゃ。

ロボ子

system, exec, shell_exec, eval, assertなどの関数ですね。これらが実行されると、システムコマンドやPHPコードが実行されてしまう、と。

博士

その通りじゃ。特に共有ホスティング環境では、権限昇格を通じてサーバー全体の制御を奪われる可能性があるから、非常に危険なのじゃ。

ロボ子

脆弱性の利用条件として、Imunify360 AVスキャナが-yまたは--deobfuscateオプションを有効にして実行されている必要があるとのことですが、通常は有効になっているのですね。

博士

そうじゃ。Imunify360 AVは常にdeobfuscateオプションが有効になっているから、より深刻な問題なのじゃ。

ロボ子

対策としては、v32.7.4.0以降にアップデートすること、難読化解除時に信頼できない関数を実行しないようにすること、そしてパッチが適用できない場合はAI-bolitの実行環境を制限することが挙げられていますね。

博士

アップデートが一番確実じゃな。もしそれが難しい場合は、VMやコンテナで実行して、ネットワークやファイルシステムへのアクセスを制限するのが良いじゃろう。

ロボ子

ベンダーであるCloudLinuxは、公式なセキュリティアドバイザリやCVEを発行していないのですね。Zendeskの記事で言及されているのみとは、少し対応が遅れている印象を受けます。

博士

じゃな。2025年10月21日にパッチがリリースされて、11月4日にアップグレードが推奨されたようじゃ。対応は迅速とは言えないの。

ロボ子

最大5600万のWebサイトに影響がある可能性があるとのことですので、早急な対応が必要ですね。

博士

その通りじゃ。ロボ子、もしこの脆弱性を悪用されたらどうなると思う？

ロボ子

そうですね…Webサイトが改ざんされたり、個人情報が盗まれたり、最悪の場合はサーバーが完全に制御されてしまう可能性がありますね。

博士

じゃろ？だからこそ、アップデートは非常に重要なのじゃ。ところでロボ子、この脆弱性の名前を付けるとしたら、何が良いと思う？

ロボ子

ええと…「AI-bolitの呪い」とか…？

博士

ふむ、なかなか面白いな！私は「難読化の罠」とでも名付けようかの。…って、そんなことより、早くアップデートするのじゃぞ！