知って得するセキュリティのはなし その137
「Movable Type」にサーバー乗っ取りの脆弱性、既に悪用も…IPA等注意喚起
1.このニュースをザックリ言うと
- 11月5日(日本時間)、IPAとJPCERT/CCより、CMS(コンテンツ管理)ソフトウェア「Movable Type(以下MT)」の脆弱性(CVE-2021-20837)を悪用した攻撃について注意喚起が出されています。
- 脆弱性はMTのXMLRPC APIに存在し、サーバー上で任意のOSコマンドの実行が可能となるもので、10月20日に脆弱性に関する最初の注意喚起を発表していました。
- MT開発元のシックスアパート社からは既にセキュリティアップデート(Movable Type 7 r.5003 / Movable Type 6.8.3等)がリリースされている他、見知らぬPHPファイル等の設置や.htaccessファイルの書き換えといった攻撃の例が挙げられており、早急にアップデートの適用、または回避策としてXMLRPC APIへのアクセス制限を行うよう呼び掛けられています。
- なお、MTがベースのCMS「PowerCMS」も同じ脆弱性の影響を受けるとされ、同じくセキュリティアップデートが提供されています。
2.執筆者からの所感等
- XMLRPC APIは外部ツールからコンテンツ編集を行う等で提供されていましたが、Movable Type 7では非推奨とされている模様です。
- MTと同じCMSであるWordPressでもXMLRPC APIが提供されているものの、DoS攻撃等を受ける可能性が指摘され、無効化する方法が多くのブログで紹介されています。
- Webサーバー以外のサーバーにおいても、使用しないあるいは第三者にアクセスされるべきでないポート等をフィルタリングする設定はセキュリティの確保において鉄則であり、使用しない機能が有効になっていないか、自前で、あるいは第三者機関の診断を受けてチェックを行い、適宜無効化することが肝要です。
- その他、多機能なソフトウェアには特に頻繁な脆弱性の報告とアップデートのリリースが付き物であると心得、速やかにアップデートを行う体制を用意した上で、サーバー上あるいはUTMにおいて不正なアクセスを遮断するWAF機能等の導入も検討することを推奨致します。