【対策法】Movable TypeにOSコマンドインジェクションの脆弱性が見つかる

日本のシックス・アパート社が提供するCMS「Movable Type」に、OSコマンドインジェクションの脆弱性が見つかりました。
この脆弱性のレベルは、CVSSという脆弱性指標で全4段階のうち「緊急」に分類される最も高いレベルの脆弱性となります。
現在、Movable Typeを使用してサイトを運用している方は早急に対応が必要です。
この記事はこんな人におすすめ!
- Movable Typeをインストールしたサイトを運営している人
- 最近Movable Typeをインストールしているサイトの挙動がおかしい人
- Movable Typeの脆弱性についての記事に興味のある人
対象となるMovable Typeのバージョン
次の製品が対象です。 Movable Type 7 r.5002 およびそれ以前 (Movable Type 7系) Movable Type 6.8.2 およびそれ以前 (Movable Type 6系) Movable Type Advanced 7 r.5002 およびそれ以前 (Movable Type Advanced 7系) Movable Type Advanced 6.8.2 およびそれ以前 (Movable Type Advanced 6系) Movable Type Premium 1.46 およびそれ以前 Movable Type Premium Advanced 1.46 およびそれ以前 開発者によると、すでにサポート終了をしたバージョンを含む、Movable Type 4.0 以降のすべてのバージョンが本脆弱性の影響を受けるとのことです。出典:https://www.ipa.go.jp/security/ciadr/vul/20211020-jvn.html
現在Movable Typeの主流となっているバージョン7を筆頭に、上記の各バージョンに今回の脆弱性の存在が認められています。
また、Movable Type4.0以降のバージョンすべてが、この脆弱性の影響を受けるということで、その影響の範囲は非常に広範囲に亘っていると言えます。
※2021/11/10追記
「Movable Type」をベースとした高機能版CMS「PowerCMS」についても、本脆弱性の影響を受ける可能性があります。こちらも出来るだけ早急に、対策を実施する必要があります。
対策法
今回の脆弱性は、外部から「mt-xmlrpc.cgi」というファイルを通して、Webサイトのあるサーバーの主にルートディレクトリに悪意のある.php拡張子のファイルが置かれることがこれまでにわかっています。
そのため、まず一番早く対応できる策としては、「mt-xmlrpc.cgi」のパーミッションを「000」などとしてしまうか、もしくは、そのファイルごと削除してしまうことが挙げられます。
※ただし現在、このcgiファイルをつかって投稿などを行っている場合は、その機能が使用できなくなります。
その応急措置が完了したら、シックス・アパートが提供しているパッチ適用済みの最新バージョンのMovable Typeを別ディレクトリにインストールし直して、そちらを使うようにすることが、今回の問題の根本の解決方法になることと思います。
最新バージョンの配布については、下記のサイトをご確認ください。
https://www.sixapart.jp/movabletype/news/2021/10/20-1100.html
まとめ
Movable TypeはWordPressなどに比べて比較的安全と言われてきましたが、今回はかなり重大な脆弱性が見つかったため、一気にその神話にも陰りが見られるようになってきました。
一度攻撃を受けてしまうと、生成される悪意のあるファイルを取り除いても、知らない間にサーバー自体に「バックドア」とよばれる裏口を作られてしまい、再度攻撃の対象になってしまいます。
今後もセキュリティ情報には常にアンテナを張って、このような攻撃の被害に遭わないように、気をつけていきたいものです。
更新:「Movable Type」の XMLRPC API における OS コマンド・インジェクションの脆弱性について(JVN#41119755)PowerCMS 5.19 / 4.49 / 3.295 向けパッチについて (XMLRPC API における OS コマンド・インジェクションの脆弱性対策)