Movable Type 4.0 以降の脆弱性、改ざん被害多数発生中
2021年10月20日、シックス・アパート株式会社から、Movable Type 4.0 以降のすべてのバージョンが対象の脆弱性(CVE-2021-20837)が発表されました。 Movable TypeのXMLRPC […]
2021年10月20日、シックス・アパート株式会社から、Movable Type 4.0 以降のすべてのバージョンが対象の脆弱性(CVE-2021-20837)が発表されました。
Movable TypeのXMLRPC APIにおける脆弱性(CVE-2021-20837)に関する注意喚起
XMLRPC API に細工したメッセージを POSTすることで任意の OS コマンドが実行可能となるというOSコマンドインジェクションの脆弱性であり、当社にも11月15日より複数の被害報告が寄せられています。
本日2021年11月19日にも2件の被害報告があり、現在調査中ですが被害の深刻度を増しているとみられます。
なお、JPCERT/CCは、2021年10月26日にこの脆弱性の実証コード(PoC)が公開されていることを確認しています。
【注意喚起】Movable Typeの脆弱性を狙う悪質な攻撃を観測、至急対策を!
当社でもこの脆弱性を悪用するMetasploitモジュールを確認しました。
足元での当社案件では、mtディレクトリが削除されている、消えているといった報告が届いています。
シックス・アパート株式会社より本脆弱性を修正したバージョンが公開されていますので、可及的速やかなアップデートを行ってください。
関連情報
Movable Type の脆弱性にご注意ください さくらインターネット株式会社
更新:「Movable Type」の XMLRPC API における OS コマンド・インジェクションの脆弱性について(JVN#41119755) IPA
バックドア設置の被害が発生したMovable Type、別のCMSでも対処が必要な理由