Movable TypeのXMLRPC APIにOSコマンドインジェクションの脆弱性

大手CMS「Movable Type」にOSコマンドインジェクションの脆弱性

本脆弱性を突いたサイバー攻撃がかなり猛威を振るっていて、弊社にも多くの問い合わせが来ているので今更ですが注意喚起です。
※すぐアップデート出来なくても回避策があるのでこちらをご確認ください。

2021年10月20日(水)、シックス・アパート社によりMovable TypeのXMLRPC APIを経由したOSコマンドインジェクション(CVE-2021-20837)の脆弱性が公表されました。

この脆弱性の危険度は「緊急」レベルであり攻撃が成立した場合、遠隔の第三者が任意のOSコマンドを実行する可能性を含んだ脆弱性となります。

したがって、攻撃者によりWebサーバー上の情報を改竄・窃取される恐れがあり、早急な対応が必要です。なお、Movable Typeをベースにして作成されたCMSである「PowerCMS」をご利用の場合にも同様の影響があるため対策が必要となります。「PowerCMS X」については問題ございません。

修正バージョンとしてMovable Type 7 r.5003 の提供開始に伴い、Movable Type Premium および Movable Type Premium (Advanced Edition) 1.47 がリリースされています。

この脆弱性の影響を受けるMovable Typeを使用している方は、シックス・アパート社が公開している情報を確認し、対策を実施することを推奨します。

シックス・アパート株式会社
[重要] Movable Type 7 r.5003 / Movable Type 6.8.3 / Movable Type Premium 1.47 の提供を開始(セキュリティアップデート)
https://www.sixapart.jp/movabletype/news/2021/10/20-1100.html

 

影響を受けるバージョン

下記のMovable Typeバージョンが影響を受けます。

  • Movable Type 7 r.5002およびそれ以前(Movable Type 7系)
  • Movable Type 6.8.2およびそれ以前(Movable Type 6系)
  • Movable Type Advanced 7 r.5002およびそれ以前(Movable Type Advanced 7系)
  • Movable Type Advanced 6.8.2およびそれ以前(Movable Type Advanced 6系)
  • Movable Type Premium 1.46およびそれ以前
  • Movable Type Premium Advanced 1.46およびそれ以前
  • Movable Type 4.0 以上(Advanced、Premium も含む)

 

基本的な攻撃の流れ

  • /mt/mt-xmlrpc.cgiに対してリモートコード実行
  • 上記実行時にWebShell設置(anonymousfoxを使うケースが多い)その際、.htaccessを書き換えられるケースが多い
  • アップローダーやダウンローダーなど多数配置し、攻撃の地盤を固める
  • 本格的に攻撃開始

といった流れが良くあるものです。WebShellを封じようと思うとmt-xmlrpc.cgiのアクセス制限やWebShellの排除が大変なため、インシデント発生時の対応としてはサーバーを止める対応がベターなものとなります。

■用語などの概要

mt-xmlrpc.cgi:今回問題になっているプログラム。外部から比較的簡単にコード実行が可能で、後述のWebShellを設置されてサーバーが乗っ取られる可能性がある

WebShell:ウェブページのような型をしたマルウェア。ウェブブラウザからWebShellにアクセスすることで、サーバーの遠隔操作が可能となる。そのため、攻撃者は積極的にWebShellをウェブサーバーに設置する

アップローダー、ダウンローダー:マルウェアの一種。悪性のファイルをアップロードしたり、サーバーから情報を持ち出したりといったことを可能にする。

 

対策・対応について

最新版へのアップデートを推奨します。最新バージョンプログラムの入手方法については、シックス・アパート株式会社が公開している情報をご確認ください。

また、攻撃の影響を受けている可能性がある場合、株式会社ラックが公開している情報をもとに調査を行うことを推奨します。

株式会社ラック
【注意喚起】Movable Typeの脆弱性を狙う悪質な攻撃を観測、至急対策を!
https://www.lac.co.jp/lacwatch/alert/20211102_002780.html

 

アップデートがすぐに行えない場合について

シックス・アパート株式会社より回避策が公開されています。詳細につきましては、シックス・アパート株式会社が公開している情報をご確認ください。

 

参考情報

シックス・アパート株式会社
[重要] Movable Type 7 r.5003 / Movable Type 6.8.3 / Movable Type Premium 1.47 の提供を開始(セキュリティアップデート)
https://www.sixapart.jp/movabletype/news/2021/10/20-1100.html

 

Japan Vulnerability Notes JVN#41119755
Movable Type の XMLRPC API における OS コマンドインジェクションの脆弱性
https://jvn.jp/jp/JVN41119755/

 

株式会社ラック
【注意喚起】Movable Typeの脆弱性を狙う悪質な攻撃を観測、至急対策を!
https://www.lac.co.jp/lacwatch/alert/20211102_002780.html

 

【セキュリティ ニュース】脆弱な「Movable Type」狙う攻撃が発生中 – 更新や被害状況の確認を(1ページ目 / 全1ページ):Security NEXT

https://www.security-next.com/131421

【セキュリティ ニュース】サイトが改ざん被害、残存した旧CMSの脆弱性が標的に – サンメディア(1ページ目 / 全1ページ):Security NEXT

https://www.security-next.com/131558

 

OSコマンドインジェクションやバックドアに関する参考

https://www.ipa.go.jp/security/vuln/websecurity-HTML-1_2.html

https://www.jpcert.or.jp/newsflash/2017080101.html

レオンテクノロジーは現在、一緒に働く仲間を募集しております!
興味がある方はこちらから!

セキュリティに関するご相談はこちらから!

こんな記事も読まれています