Movable Type(ムーバブルタイプ)を利用しているサイトは要注意!「XMLRPC API」の脆弱性が緊急になっています

「Movable Type」の XMLRPC APIIPAから「Movable Type」の XMLRPC API における OS コマンド・インジェクションの脆弱性について(JVN#41119755)という情報が発信されています。最終更新日が2021年11月5日の内容を見ると、かなり深刻な状況のようでこの脆弱性の深刻度も緊急性も最高レベルで表現されています。
シックス・アパート株式会社が提供する「Movable Type」の XMLRPC API には、OS コマンド・インジェクションの脆弱性が存在します。攻撃が行われた場合の影響が大きい問題であるため、できるだけ早急に、製品開発者が提供する情報をもとに、アップデートを実行してください。
ということです。

Movable Type(ムーバブルタイプ)の脆弱性警告情報

シックス・アパート株式会社が提供する「Movable Type」は、コンテンツ管理システムです。「Movable Type」の XMLRPC API には、OS コマンド・インジェクションの脆弱性が存在します。
遠隔の第三者によって、任意の OS コマンドを実行される可能性があります。
攻撃が行われた場合の影響が大きい問題であるため、できるだけ早急に、製品開発者が提供する情報をもとに、アップデートを実行してください。

--- 2021 年 11 月 5 日 更新 ---

2021年11月5日現在、本脆弱性を悪用した攻撃が確認されているため、出来るだけ早急に、製品開発者が提供する情報をもとに、対策を実施してください。

mtxmlrpccgisinkoku.jpg

上記の情報は
https://www.ipa.go.jp/security/ciadr/vul/20211020-jvn.html
からの引用です。

緊急度も危険度もMAXですね。

Movable Type提供元のシックス・アパート社の方では
https://www.sixapart.jp/movabletype/news/2021/10/20-1100.html
という情報を発信しています。

【2021/11/9 追記】
悪質な攻撃が観測されており、見知らぬ PHP ファイルなどを設置されたり .htaccess を書き換えられてサイトの閲覧に影響が出るなどの被害が確認されています。対象となるのは Movable Type 4.0 以降、6.8.2 以前、7 r.5002、MTP 1.46 以前のすべてのバージョンです。対象のバージョンをご利用の方は、対策済の 7 r.5003、Movable Type Premium 1.47 もしくは 6.8.3 へのアップデート、または XMLRPC API へのアクセスを制限する対処を直ちに行なってください。

当サイトもムーバブルタイプ(Movable Type)を利用しているので、急いで調べてみました。

もしも、不正なアクセスが有った場合は、Movable Typeのシステムフォルダに不審な「.php」ファイルが置かれるようです。もし、そのような状況だった、急いで処置しましょう。

幸い、当サイトは大丈夫でしたが、急いで対策をしました。

対策としては

当サイトでは現在 XMLRPC API を利用しておらず今後も XMLRPC API を利用する予定がありません。(mt.cgiでログインしている場合はこの判断でよさそうです)

その場合は、mt-xmlrpc.cgi を使わないので、mt-xmlrpc.cgiファイルを削除するか属性(パーミッション)を755から変更したほうがいいみたいです。

当サイトでは755から444に変更して、念の為リネームすることにしました。

Movable Typeのシステムフォルダを見てみましょう

mtxmlrpccgi444.jpg

あやしい「.php」ファイルが存在していないかどうかをチェックしましょう。日付順に並べ替えれば、怪しいファイルの日付は新しいはずなので存在しているかどうかがチェックしやすいと思います。あれば削除してください。

そして、mt-xmlrpc.cgi の属性(パーミッション)は755になっているはずなので、444に変更しました。そのうえで、ファイル名を変更して外部からのアクセスができないようにしておきました。

これで一安心です。

ただし、Movable Typeの最新版へのアップデートも検討しなければなりません。Movable Typeは有料なので少し頭がいたいです。

このエントリーをはてなブックマークに追加 遠田幹雄のLINE@アカウントを友だち追加  



この記事を書いた人

中小企業診断士:遠田幹雄の顔写真遠田 幹雄(とおだ みきお)
 
経営コンサルティング企業の株式会社ドモドモコーポレーション代表取締役。石川県かほく市に本社があり金沢市を中心とした北陸三県を主な活動エリアとする経営コンサルタントです。
小規模事業者や中小企業を対象として、経営戦略立案とその後の実行支援、商品開発、販路拡大、マーケティング、ブランド構築等に係るコンサルティング活動を展開しています。民民での直接契約を中心としていますが、商工三団体などの支援機関が主催するセミナー講師を年間数十回担当したり、支援機関の専門家派遣中小企業基盤整備機構の経営窓口相談に対応したりもしています。
保有資格:中小企業診断士、情報処理技術者
 
会社概要およびプロフィールは株式会社ドモドモコーポレーションの会社案内にて紹介していますので興味ある方はご覧ください。


この記事のURL「https://www.dm2.co.jp/2021/11/xmlrpc-api.html」をQRコードで表示
この記事のURL「https://www.dm2.co.jp/2021/11/xmlrpc-api.html」をQRコードで表示「https://www.dm2.co.jp/2021/11/xmlrpc-api.html」
パソコンで表示されたページをスマホでも見たい場合は、このQRコードをスマホのカメラ(QRコードが読めるリーダー)で読むとページが表示されます。