【対策法】Movable TypeにOSコマンドインジェクションの脆弱性が見つかる

2021年11月9日

Movable Typeに非常に重大な脆弱性が見つかる OSインジェクションを受ける可能性

日本のシックス・アパート社が提供するCMS「Movable Type」に、OSコマンドインジェクションの脆弱性が見つかりました。

この脆弱性のレベルは、CVSSという脆弱性指標で全4段階のうち「緊急」に分類される最も高いレベルの脆弱性となります。

現在、Movable Typeを使用してサイトを運用している方は早急に対応が必要です。

対象となるMovable Typeのバージョン

次の製品が対象です。

Movable Type 7 r.5002 およびそれ以前 (Movable Type 7系)
Movable Type 6.8.2 およびそれ以前 (Movable Type 6系)
Movable Type Advanced 7 r.5002 およびそれ以前 (Movable Type Advanced 7系)
Movable Type Advanced 6.8.2 およびそれ以前 (Movable Type Advanced 6系)
Movable Type Premium 1.46 およびそれ以前
Movable Type Premium Advanced 1.46 およびそれ以前
開発者によると、すでにサポート終了をしたバージョンを含む、Movable Type 4.0 以降のすべてのバージョンが本脆弱性の影響を受けるとのことです。

出典:https://www.ipa.go.jp/security/ciadr/vul/20211020-jvn.html

現在Movable Typeの主流となっているバージョン7を筆頭に、上記の各バージョンに今回の脆弱性の存在が認められています。
また、Movable Type4.0以降のバージョンすべてが、この脆弱性の影響を受けるということで、その影響の範囲は非常に広範囲に亘っていると言えます。

※2021/11/10追記
「Movable Type」をベースとした高機能版CMS「PowerCMS」についても、本脆弱性の影響を受ける可能性があります。こちらも出来るだけ早急に、対策を実施する必要があります。

対策法

今回の脆弱性は、外部から「mt-xmlrpc.cgi」というファイルを通して、Webサイトのあるサーバーの主にルートディレクトリに悪意のある.php拡張子のファイルが置かれることがこれまでにわかっています。

そのため、まず一番早く対応できる策としては、「mt-xmlrpc.cgi」のパーミッションを「000」などとしてしまうか、もしくは、そのファイルごと削除してしまうことが挙げられます。
※ただし現在、このcgiファイルをつかって投稿などを行っている場合は、その機能が使用できなくなります。

その応急措置が完了したら、シックス・アパートが提供しているパッチ適用済みの最新バージョンのMovable Typeを別ディレクトリにインストールし直して、そちらを使うようにすることが、今回の問題の根本の解決方法になることと思います。

最新バージョンの配布については、下記のサイトをご確認ください。
https://www.sixapart.jp/movabletype/news/2021/10/20-1100.html

まとめ

Movable TypeはWordPressなどに比べて比較的安全と言われてきましたが、今回はかなり重大な脆弱性が見つかったため、一気にその神話にも陰りが見られるようになってきました。

一度攻撃を受けてしまうと、生成される悪意のあるファイルを取り除いても、知らない間にサーバー自体に「バックドア」とよばれる裏口を作られてしまい、再度攻撃の対象になってしまいます。

今後もセキュリティ情報には常にアンテナを張って、このような攻撃の被害に遭わないように、気をつけていきたいものです。

参考情報

更新:「Movable Type」の XMLRPC API における OS コマンド・インジェクションの脆弱性について(JVN#41119755)

PowerCMS 5.19 / 4.49 / 3.295 向けパッチについて (XMLRPC API における OS コマンド・インジェクションの脆弱性対策)