Movable Typeに新たな脆弱性発見、早急に対応しましょう!

2022.08.25
この記事は約6分で読めます。

Movable Typeの新たな脆弱性Movable Typeの新たな脆弱性が発見され注意喚起がありました。「XMLRPC API を経由した不正なリクエストにより、組み込みコマンドやシェルコマンドの限定的な実行が可能な脆弱性(CVE-2022-38078)」があるとのことです。
昨年11月にも同様の問題が起きたことが記憶から蘇ります。そのときは「mt-xmlrpc.cgi からの不正侵入」でサイトが乗っ取られてしまうという深刻な被害で、かなりの広範囲で問題が起きました。
今回もそれと同等なレベルだとしたら早急に対策が必要です。

Movable Type(ムーバブルタイプ、通称はMT)の脆弱性問題

提供元のシックス・アパート社からは

[重要] Movable Type 7 r.5301 / Movable Type 6.8.7 / Movable Type Premium 1.53 の提供を開始(セキュリティアップデート)
https://www.sixapart.jp/movabletype/news/2022/08/24-1100.html

にて情報公開しています。

上記の重要部分は

セキュリティ問題の修正について

XMLRPC API を経由した不正なリクエストにより、組み込みコマンドやシェルコマンドの限定的な実行が可能な脆弱性(CVE-2022-38078)を修正しました。

ということですので、やはり「XMLRPC API 」が問題です。これは昨年の大被害を思い出しますね。

目先の対策案はMovable Typeを新バージョンにすること

上記の対策は、新バージョンにするということしか書いてありません。現状、Movable Typeをレンタルサーバで使っていて、これからも使い続けるのなら、新バージョンを入れるしかないと思います。

Movable Typeは新バージョンのアップデートがかなりたいへんな手間がかかりますので頭が痛いでしょう。修正ファイルをダウンロードして、テキストエディタで修正し、FTPにてアップロードするという、クリーンアップデートが必要です。修正ファイルの入手は、会員サイトにログインしなければならないので、簡単ではありません。有料ライセンスなので場合によっては課金が必要になります。

さらに、昨年の大被害につながったのは使われているMovable Typeだけでなく、使わなくなって放置していた古いMovable Typeがかなりやられていました。むしろ、使わなくなったMovable Typeが一番の問題でした。

この機会にMovable Typeを完全停止し削除することも検討しましょう

昨年のMT大問題のさいに、国の情報機関であるIPA(情報処理推進機構)からはこんな発表がありました。

更新:「Movable Type」の XMLRPC API における OS コマンド・インジェクションの脆弱性について(JVN#41119755)
https://www.ipa.go.jp/security/ciadr/vul/20211020-jvn.html

このページの中で注目すべきところは以下のとおりです。

  • 現在 XMLRPC API を利用していない、または今後 XMLRPC API を利用しない場合
    • mt-xmlrpc.cgi へのアクセスを、信頼できる接続元のみに制限する
    • CGI/FCGI として利用している場合
      • mt-xmlrpc.cgi を削除、またはパーミッションを削除する
    • PSGI で利用している場合
      • Movable Type (Advanced) 6.2 以降および Movable Type Premium (Advanced)
        • mt-config.cgi に Movable Type 環境変数 RestrictedPSGIApp xmlrpc を設定する
      • Movable Type (Advanced) 5.2 から Movable Type (Advanced) 6.1 まで
        • mt-config.cgi で使用する Movable Type 環境変数 XMLRPCScript に十分に複雑な文字列を設定する
  • 継続して XMLRPC API を利用する場合
    • mt-xmlrpc.cgi へのアクセスを、信頼できる接続元のみに制限する
    • PSGI で利用している場合
      • mt-config.cgi で使用する Movable Type 環境変数 XMLRPCScript に十分に複雑な文字列を設定する

 

これは相当な利用制限ですね。

言外には、
Movable Typeを停止するか削除したらどうですか…
ということを国の情報機関が述べているように感じてしまいました。
(個人的な感想です)

私自身が10年以上もMovable Typeを使ってきたユーザーなので、この感覚ってとても重要なことですよね。

かつて「MTを使っていたな~」というレンタルサーバーを利用している方は、のんびりしている場合でないので今すぐチェックしましょう。Movable Typeが乗っ取られると、そのサーバー全部が使用不可になってしまいます。昨年の大問題時にはそのような事例が多数ありました。

このさいMovable TypeをWordPressに移行することも検討しましょう

これだけMovable Typeに問題が起きるのは、Movable Typeのユーザーが減少しているからでしょう。一般ユーザーが減少したため、サポート体制もかなり削減されているようです。シックス・アパート社の日本法人は、規模縮小しているようですし、日本国内のサポートはこれからとくに期待できないと思います。

ですから、Movable Typeを利用し続けるかどうかは、ここで大きな決断が必要かもしれません。

実は、当社のこのサイト「dm2.co.jp」は、先週までMovable Typeで運用していましたが、今週の月曜日未明の8月22日から、WordPressに移行しました。運用するレンタルサーバーも「さくらインターネット」から「エックスサーバー」に移転しています。

今思えばタイムリーな移行と移転でした。

当社のコンテンツはブログ記事を中心に約6000ページありましたので、現在も「404エラー」の対応に日々追われています。

404エラー対応はリダイレクションというプラグインで対応しています。大変ではありますが、先が見える問題なので心は軽いです。このような便利なプラグインが多数あるのはWordPressのありがたさです。

Movable Typeでは404エラー対応がかなりたいへんでした。なにより、今の問題を解決しても次の問題が出てくるという先の見えないシステムの不安定さがあります。これからの環境変化に対応できるのでしょうか、不安ですね。安定して稼働してくれることを期待したい「システム」なのに、心配です。

かつてCMSの王者だったMovable Typeですが、いまや賞味期限切れ間近の印象を感じてしまいます。

これからもMovable Typeは経年劣化の問題が起きることを想定しなければならないでしょう。

いっそ、このタイミングでMovable Typeで運用しているサイトはWordPressに移行することをおすすめします。

Movable Typeを使いたいなら運用体制を変更しましょう

どうしてもMovable Typeのままで利用し続けたいということであれば
・技術者(エンジニア)の定期的なサポートを得られるしくみにする
・レンタルサーバでの運用をあきらめ、クラウド型のMovable Typeに移行する
のどちらかへの検討は必須だと思います。

ちなみに、昨年11月に起きたMovable Typeの脆弱性問題の事件は以下のページで紹介していますので、関係ありそうな方はご覧になっておいてはいかがでしょうか。

「Movable Type」の XMLRPC API
Movable Type(ムーバブルタイプ)を利用しているサイトは要注意!「XMLRPC API」の脆弱性が緊急になっています