HOME コラム一覧 知って得するセキュリティのはなし その137

知って得するセキュリティのはなし その137

post_visual

「Movable Type」にサーバー乗っ取りの脆弱性、既に悪用も…IPA等注意喚起

1.このニュースをザックリ言うと

- 11月5日(日本時間)、IPAとJPCERT/CCより、CMS(コンテンツ管理)ソフトウェア「Movable Type(以下MT)」の脆弱性(CVE-2021-20837)を悪用した攻撃について注意喚起が出されています。
- 脆弱性はMTのXMLRPC APIに存在し、サーバー上で任意のOSコマンドの実行が可能となるもので、10月20日に脆弱性に関する最初の注意喚起を発表していました。
- MT開発元のシックスアパート社からは既にセキュリティアップデート(Movable Type 7 r.5003 / Movable Type 6.8.3等)がリリースされている他、見知らぬPHPファイル等の設置や.htaccessファイルの書き換えといった攻撃の例が挙げられており、早急にアップデートの適用、または回避策としてXMLRPC APIへのアクセス制限を行うよう呼び掛けられています。
- なお、MTがベースのCMS「PowerCMS」も同じ脆弱性の影響を受けるとされ、同じくセキュリティアップデートが提供されています。

2.執筆者からの所感等

- XMLRPC APIは外部ツールからコンテンツ編集を行う等で提供されていましたが、Movable Type 7では非推奨とされている模様です。
- MTと同じCMSであるWordPressでもXMLRPC APIが提供されているものの、DoS攻撃等を受ける可能性が指摘され、無効化する方法が多くのブログで紹介されています。
- Webサーバー以外のサーバーにおいても、使用しないあるいは第三者にアクセスされるべきでないポート等をフィルタリングする設定はセキュリティの確保において鉄則であり、使用しない機能が有効になっていないか、自前で、あるいは第三者機関の診断を受けてチェックを行い、適宜無効化することが肝要です。
- その他、多機能なソフトウェアには特に頻繁な脆弱性の報告とアップデートのリリースが付き物であると心得、速やかにアップデートを行う体制を用意した上で、サーバー上あるいはUTMにおいて不正なアクセスを遮断するWAF機能等の導入も検討することを推奨致します。

執筆者情報

profile_photo

株式会社アルテミス

株式会社アルテミスは、1995年(平成7年)に設立以来、情報通信および情報セキュリティという事業領域において、お客様ニーズに合わせてワンストップにて各種ソリューションを提供しています。
自社製品として情報セキュリティ関連の各種シリーズをリリース、そのほか、ネットワークセキュリティの分野では、疑似侵入診断サービス、Webアプリケーション診断サービスなどによるネットワークの脆弱性診断などを展開するなど、官公庁・金融機関・一部上場企業を初めとする大手・中堅企業から中小企業に至るまで、多くの企業がセキュアなシステムを構築するための支援を首尾一貫して提供しています。
特に50名以下の管理者がいない法人(SMB)法人に対してセキュリティ+マネージドサービスを提供しています。
SMB市場でのセキュリティ機器&サービスは、提案、購入するだけでは、エンサービスドユーザへの『真の導入には至らない』ため、システム管理者が不在でも、機器の運用、の運用、 IT機器の活用方法、トラブル対応、リスク対応などを標準化した商品を提供しています。

株式会社アルテミス
https://www.artemis-jp.com/

株式会社アルテミス AUS便り
https://www.artemis-jp.com/wp/aus_arc/

この記事のカテゴリ

この記事のシリーズ

知って得するセキュリティのはなし

記事の一覧を見る

関連リンク

知って得するセキュリティのはなし その136

税務・会計に関する情報を毎週無料でお届けしています!

メルマガ登録はこちら


コラム
/column/2021/img/thumbnail/img_36_s.jpg
- 11月5日(日本時間)、IPAとJPCERT/CCより、CMS(コンテンツ管理)ソフトウェア「Movable Type(以下MT)」の脆弱性(CVE-2021-20837)を悪用した攻撃について注意喚起が出されています。- 脆弱性はMTのXMLRPC APIに存在し、サーバー上で任意のOSコマンドの実行が可能となるもので、10月20日に脆弱性に関する最初の注意喚起を発表していました。- MT開発元のシックスアパート社からは既にセキュリティアップデート(Movable Type 7 r.5003 / Movable Type 6.8.3等)がリリースされている他、見知らぬPHPファイル等の設置や.htaccessファイルの書き換えといった攻撃の例が挙げられており、早急にアップデートの適用、または回避策としてXMLRPC APIへのアクセス制限を行うよう呼び掛けられています。- なお、MTがベースのCMS「PowerCMS」も同じ脆弱性の影響を受けるとされ、同じくセキュリティアップデートが提供されています。
2021.11.24 16:13:26