Ein weitreichendes Sicherheitsproblem betrifft aktuell Millionen von Webseiten weltweit. Eine kürzlich entdeckte Schwachstelle in Imunify360 AV – einem beliebten Server-Sicherheitsscanner vieler Hosting-Anbieter – ermöglicht es Angreifern, komplette Server zu übernehmen. Laut Experten sind potenziell bis zu 56 Millionen Websites gefährdet. Was auf den ersten Blick wie ein Spezialproblem aussieht, betrifft in Wahrheit einen großen Teil des globalen Webhostings.
Was Imunify360 AV eigentlich tut
Imunify360 ist eine Sicherheitslösung, die speziell auf Server von Hosting-Providern zugeschnitten ist. Sie durchsucht Dateien und Datenbanken nach Schadcode, erkennt verdächtige Signaturen und versucht, infizierte Dateien zu bereinigen, bevor sie Schaden anrichten können. Viele bekannte Hosting-Plattformen setzen dieses Tool standardmäßig ein, um ihren Kunden eine sicherere Umgebung zu bieten.
Doch ausgerechnet dieses Schutzsystem enthält eine gravierende Schwachstelle, die – wenn sie nicht gepatcht wird – den gesamten Schutz umkehrt: Aus einem Verteidiger wird ein potenzielles Einfallstor.
Wie die Sicherheitslücke funktioniert
Gefunden wurde die Schwachstelle vom Sicherheitsteam von Patchstack, das regelmäßig Auditierungen für Webapplikationen durchführt. Der Kern des Problems liegt im sogenannten AI‑Bolit Modul von Imunify360. Dieses Modul dient zum Entschlüsseln und Analysieren von Dateien, die auf Schadsoftware überprüft werden. Angreifer können jedoch speziell präparierten Code einschleusen – beispielsweise obfuskiertes PHP –, den der Scanner selbst wieder entschlüsselt und anschließend ausführt.
So entsteht ein paradoxes Szenario: Der Sicherheitsmechanismus, der eigentlich gefährlichen Code identifizieren soll, sorgt selbst dafür, dass dieser ausgeführt wird. Der Code läuft dann mit denselben Rechten, die der Scanner hat – häufig mit Root‑Rechten. Auf diese Weise kann ein Angreifer nicht nur Webseiteninhalte manipulieren, sondern den gesamten Server kompromittieren.
Gefahr durch doppelte Angriffspfade
Die Untersuchung zeigte zudem, dass nicht nur das Datei‑Scanning betroffen war, sondern auch das Modul zum Datenbank‑Scanning. Beide arbeiten auf identische Weise – und beide können überlistet werden.
Das bedeutet, dass ein Angreifer im Grunde zwei Möglichkeiten hat, um den Angriff durchzuführen: über den Upload einer manipulierten Datei oder durch eingeschleusten Code in die Datenbank.
Das ist besonders kritisch, da in vielen Content‑Management‑Systemen Benutzer über Formulare oder Kommentar‑Felder Daten in Datenbanken schreiben dürfen. Selbst wenn diese Einträge harmlos erscheinen – etwa ein Blogkommentar – können sie in der Datenbank einen schädlichen String hinterlassen, der später vom Scanner ausgelesen und „entziffert“ wird. In diesem Moment kann der Schadcode vom Scanner selbst ausgeführt werden.
Einmal aktiviert, besteht das Risiko, dass sich der Angreifer vom einfachen Website‑Zugang bis zur vollständigen Serverkontrolle hocharbeitet.
Warum diese Lücke besonders brisant ist
Viele Sicherheitslücken erfordern umfangreiche Vorarbeit, spezielle Berechtigungen oder länger andauernde Infiltrationen. In diesem Fall reicht schon, dass der Angreifer irgendeinen Weg findet, Daten auf den Server oder in die Datenbank zu schreiben. Das kann über Kontaktformulare, Profilfelder oder Kommentar‑Funktionen geschehen – also über Funktionen, die auf fast jeder Webseite existieren.
Damit wird die Schwachstelle zu einer der gefährlichsten ihrer Art: Sie kann ohne Authentifizierung ausgenutzt werden.
Die Experten von Patchstack bewerten den Schweregrad daher mit einer CVSS‑Bewertung von 9,9 von 10 möglichen Punkten – quasi die höchste Alarmstufe. Das bedeutet, dass die Ausnutzung der Lücke nicht nur theoretisch, sondern praktisch mit wenig Aufwand möglich ist. In Multi‑Hosting‑Umgebungen, also auf Servern mit vielen Kundendomains, kann bereits ein einziger kompromittierter Account ausreichen, um über den Scanner auf alle übrigen Websites zuzugreifen.
Vom einzelnen Account zur Serverübernahme
Die Tragweite dieses Bugs hängt sehr stark von den Berechtigungen ab, mit denen Imunify360 läuft. Auf vielen Shared‑Hosting‑Systemen ist das Programm als Dienst mit erweiterten Rechten installiert, um effizient im gesamten Dateisystem nach Schadsoftware zu suchen. Das ist unter normalen Umständen sinnvoll – doch im aktuellen Fall bedeutet das, dass Angreifer diese Rechte direkt übernehmen.
Ein Angriff könnte typischerweise so aussehen:
- Ein Angreifer findet ein Formular, das Eingaben in eine Datenbank schreibt.
- Dort platziert er obfuskierten Code – also verschleierte Befehle, die Verhaltenssignaturen des Scanners treffen.
- Beim nächsten Scan entschlüsselt Imunify360 den Code und führt ihn aus.
- Ab diesem Moment kann der Angreifer beliebige Systembefehle im Root‑Kontext ausführen.
In so einem Szenario reicht ein eigentlich harmloser Benutzerkommentar aus, um die Kontrolle über Dutzende oder Hunderte Websites auf demselben Server zu übernehmen.
Aus meiner Erfahrung in der Sicherheitsbranche kommt es selten vor, dass ein Schutzmechanismus selbst als Sprungbrett dient – und genau das macht diese Geschichte ungewöhnlich und zugleich lehrreich.
Wie Patchstack die Situation erklärt
Patchstack beschreibt in seiner technischen Analyse, dass die Payloads, also die schädlichen Datenpakete, bewusst so gestaltet sind, dass sie „vom Tool selbst deobfuskiert werden“. Das bedeutet: Der Schadcode bleibt unsichtbar, bis der Scanner ihn freilegt – und dann ist der Schaden bereits passiert.
Die Firma kommt zu dem Schluss, dass von einer einzelnen Webseiten‑Kompromittierung bis zur vollständigen Serverübernahme alles möglich ist – je nach Konfiguration und Rechten.
Die Ermittler unterstreichen dabei, dass die Erkennung des Angriffs besonders schwierig ist. Die schädlichen Fragmente sind so verschleiert, dass herkömmliche Virenscanner sie kaum erkennen. Nur das spezielle Deobfuskations‑Verhalten von Imunify360 selbst löst den Angriff aus. Das Ganze erinnert an ein trojanisches Pferd, das nur durch den Türsteher hereingelassen wird, weil dieser den falschen Schlüssel erkennt.
Auswirkungen auf Shared‑Hosting‑Plattformen
Auf gemeinsam genutzten Servern – also bei klassischen Webhosting‑Anbietern – läuft Imunify360 meist zentral für alle Kunden. Dadurch kann ein einzelner kompromittierter Webspace ausreichen, um sich über den zentralen Dienst auf alle übrigen Bereiche auszubreiten. Für Provider ist das besonders heikel, weil ein erfolgreicher Angriff theoretisch Tausende Kundenseiten auf einmal betreffen könnte.
Das Risiko wird durch die enorm hohe Verbreitung von Imunify360 noch vergrößert: Nach Angaben der Sicherheitsforscher arbeiten weltweit rund 56 Millionen Websites über Systeme, die diese Software eingebunden haben.
Warum bisher kaum jemand davon erfahren hat
Obwohl die Lücke bereits seit Ende Oktober bekannt ist und Patches verteilt wurden, hat Imunify360 – beziehungsweise die Mutterfirma CloudLinux – bisher keine offizielle Erklärung oder ein CVE‑Ticket veröffentlicht. Ein CVE (Common Vulnerabilities and Exposures) ist ein international standardisiertes Verfahren, mit dem Sicherheitslücken eindeutig benannt und dokumentiert werden.
Das Fehlen eines solchen Eintrags sorgt dafür, dass viele Administratoren vielleicht gar nicht wissen, dass ihre Systeme gefährdet sind. Zwar steht ein Hinweis auf der Support‑Plattform des Herstellers, doch ohne CVE bekommen große Plattformen, wie Sicherheitsfeeds oder Risk‑Management‑Tools, keine automatisierte Warnung. Das bedeutet: Ein Teil der Betreiber agiert noch immer im Dunkeln.
Patchstack zeigte sich in seiner Mitteilung zurückhaltend, aber die Zeilen zwischen den Absätzen lesen sich deutlich: Man hatte von Anfang an versucht, die Firma zu kontaktieren, erhielt jedoch keine öffentliche Reaktion. Aus meiner Sicht ist das ein fatales Signal – gerade für ein Produkt, das mit Sicherheit und Transparenz wirbt.
Wenn ein Anbieter nicht klar kommuniziert, lähmt das nicht nur den Schutz der eigenen Kunden, sondern gefährdet indirekt auch Dritte, da viele Server gemeinsam betrieben werden.
Wie du dich als Administrator jetzt verhalten solltest
Falls du Imunify360 oder das AI‑Bolit‑Modul auf deinem Server einsetzt, gilt ganz klar: sofort aktualisieren. Betroffen sind alle Versionen vor 32.7.4.0. Das Update steht laut Patchstack zur Verfügung, doch es scheint, dass viele Hosting‑Provider es noch nicht eingespielt haben.
Ein paar sinnvolle Sofortmaßnahmen wären aus meiner Sicht:
- Überprüfen, ob das Tool auf
