ページの先頭です。 メニューを飛ばして本文へ
トップページ > IT活用支援ステーション > メニュー > HOME > 【重要】WEBサイト構築ソフト「MovableType」における緊急性の高い脆弱性について

DGnetサイトへのリンク

ISICOイベント・セミナー情報ポータルサイトへのリンク

石川県よろず支援拠点サイトへのリンク


【重要】WEBサイト構築ソフト「MovableType」における緊急性の高い脆弱性について

印刷用ページを表示する更新日:2021年12月3日更新

コンテンツ管理システム「Movable Type」のXMLRPC APIにおけるOSコマンドインジェクションの脆弱性を狙った攻撃が深刻になっています。


●現在「Movable Type」を利用している方で未対処の方は、自社でまたはベンダーに依頼して【サーバへFTP接続→不正ファイルの確認→不要なファイルを削除、差し替えられたファイルはバックアップファイルなどで元に戻したうえで、最新版へバージョンアップ】等の対応を行ってください。
●現在利用していなくても、過去に利用していた「Movable Type」がサーバに残っていると狙われますので、【既に必要のない場合は、フォルダごと削除】してください。

また、改ざんが確認された場合は、速やかにベンダーやサーバ会社へメールや電話で連絡を取り、被害に遭ったウェブサイトの公開を停止し、その後の対処について問い合わせてください。


以下、対応についての詳細情報です。
※taskmother 中野治美先生(ISICOネット活用セミナー講師)からの情報をもとにISICO担当が作成
=======================================================
【重要】WEBサイト構築ソフト「MovableType」における緊急性の高い脆弱性について
=======================================================

■該当するユーザ
1.MovableType(以下、MT)4.0 以降のすべてのバージョンを使用しているWEBサイト
(2021年11月5日現在「Movable type 7 r.5003、Movable Type 6.8.3及びMovable Type Premium 1.47」が最新版。※以降のバージョンは対応済)
2.以前にMTを利用していて、サーバに残っている(削除していない)

→ FTP接続を行い、不正ファイルを確認し、対応が必要!!

■不正ファイルが検出されている箇所
タイムスタンプで10/20以降の不正なファイルをチェックする

1.MTのトップページを表示させているフォルダ
.htaccess ← 差し替えられている場合がある。その場合バックアップデータなどで元に戻す。
.FoxRSF-v1 ← 削除する。
.FoxEx-v1 ← 削除する。
※上記ファイルは、FTPソフトによっては隠しファイルで表示されない場合がある
php.ini ← 既に存在している場合、差し替え、もともとあった場合はバックアップデータなどで元に戻す。新設されている場合は削除する。
xxxxx(ランダムな名前).php ← 削除する。
ランダム名なフォルダ(Fox-C等)← 削除する。

2.MTのシステムがあるフォルダ(mt-xmlrpc.cgiがある)
file-explorer.php ← 削除する。
file-uploader.php ← 削除する。
mt-xmlrpc.cgi ← 削除する。(MTのファイル)

上記のファイルはすべて存在する訳ではなく、乗っ取り具合により異なる。
現在(2021/11/09)のところ、確認できる対応を記す。

■今後の対応
・使用中の場合、最新バージョンにアップグレードする
※ただし、Ver4~5はすでにサポートも終了しており、バージョンアップは難しいかと思われる。
また、アップデートするにもライセンス購入が必要。
・既に必要のないMTは削除する。


参考URL:
----------------------------------------------------------------------
■脆弱性を確認したプラグイン
すでにサポート終了をしたバージョンを含む、Movable Type 4.0 以降のすべてのバージョン
(2021年11月5日現在「Movable type 7 r.5003、Movable Type 6.8.3及びMovable Type Premium 1.47」が最新版)
■脆弱性の影響
遠隔の第三者によって、任意の OS コマンドを実行される可能性があります。
◇詳細について(外部サイト)
[重要] Movable Type 7 r.5003 / Movable Type 6.8.3 / Movable Type Premium 1.47 の提供を開始(セキュリティアップデート)【2021/12/1 追記】
https://www.sixapart.jp/movabletype/news/2021/10/20-1100.html?fbclid=IwAR3s3VHDRxHlrpBNgj64IjF_mrcIlxhozQRVTVuUioZO0Bq50V-hE0-KBn4
----------------------------------------------------------------------
Movable TypeのXMLRPC APIにおける脆弱性(CVE-2021-20837)に関する注意喚起
https://www.jpcert.or.jp/at/2021/at210047.html
----------------------------------------------------------------------