MTを使っている方に緊急のお知らせ XMLRPC API における OS コマンドインジェクション

2022/08/24追記
XMLRPC APIについての新しい脆弱性が発見され修正版がリリースされています。今回も深刻度はほぼMAXです。
前回の対応で、mt-xmlrpc.cgi の実行権を削除していれば、今回の脆弱性の影響は受けませんが、その時にバージョンアップしていたり、その後、新規インストールして、実行権が付いた状態にしている人は至急対処しましょう。
https://www.jpcert.or.jp/at/2022/at220022.html

2022/01/29追記
復活方法のさわりの記事を書きました。

---- 記事本文はここから ----

ホームページの更新に、Movable Typeを利用している、しかも、MT3(今回の脆弱性問題はMT4以上が対象です)とかMTOSとかの、もうサポートされていないバージョンを使っている人が、まだ一定数はいるのではないかと思います。
そんな方を含めた、MTユーザーの方への重要な注意喚起です。

IPAからも次のリリースが出ています。

「Movable Type」の XMLRPC API における OS コマンド・インジェクションの脆弱性について(JVN#41119755)
https://www.ipa.go.jp/security/ciadr/vul/20211020-jvn.html
CVEコードは、 CVE-2021-20837 です。

CVSS V3のスコアが 9.8 という、非常に深刻度の高いものになっています。

基本値: 9.8 (緊急) [IPA値]

  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 低
  • 攻撃に必要な特権レベル: 不要
  • 利用者の関与: 不要
  • 影響の想定範囲: 変更なし
  • 機密性への影響(C): 高
  • 完全性への影響(I): 高
  • 可用性への影響(A): 高

サポート中のバージョンを利用している人は、最新版にアップデートしましょう。
サポート中のバージョンであっても、なんらかの理由でバージョンアップができない場合、そして、MT4.0以上でサポートが終了しているバージョンを使っている人は、すぐに対策を行いましょう。

以下は、FTPソフトにFFFTPを使っている場合の対策です。
1.サーバーにFTP接続します。
2.管理画面へアクセスするために使っている mt.cgi というファイルが存在するフォルダ内にある mt-xmlrpc.cgi というファイルを見つけます。
3.mt-xmlrpc.cgi を右クリック→「属性の変更」で、「実行」欄のすべてのチェックをはずします。または、mt-xmlrpc.cgi ファイル自体をを削除してしまいましょう。

vulnerability_mt-xmlrpc.png

設定は以上ですが、外部からXMLRPC APIを使ってブログの更新を行っている場合は、この設定により更新ができなくなります。

この脆弱性用の実証コード(PoC)がすでに公開されていて、サーバーにバックドアが作成されたり、改ざんされたりするなどの被害が出ている模様です。

【注意喚起】Movable Typeの脆弱性を狙う悪質な攻撃を観測、至急対策を!
https://www.lac.co.jp/lacwatch/alert/20211102_002780.html

アップデートが行えない場合の対処方法について(Six Apart社)
https://www.sixapart.jp/movabletype/news/2021/10/20-1100.html#noupdate

なお、最新版以外のMTには、この問題以外にもXSSなどの脆弱性が存在しますので、上記の対策を行ってもリスクが残ることは認識しておきましょう

おまけ。

MTDDC Meetup Tokyo 2021公式サイト

ぐっどらっこ。