Webサイトに不正アクセス、11/5公表のMovableTypeの脆弱性を悪用
こちらのnoteは、セキュリティ専門家松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」11月24日の放送内容を一部抜粋しご紹介します
今回のトピック!
・ニュース解説
・緊急度が高かったCMSの脆弱性の詳細と対策
・公開された脆弱性に対して対応の優先順位をつける
ニュース解説
CMSの脆弱性が原因で、ホームページが改ざんされてしまったということです。ホームページの管理にCMSを利用している場合に、セキュリティで気を付けるべきポイントについて説明します。
今回のインシデントは、サイト運営ベンダーが同社Webサイトの異常を確認したところ、ホームページのインデックスファイルとCMSの一部ファイルが改ざんされていたということです。なお、個人情報が特定できるファイルはWebサーバ上に置いていなかったと発表されています。
インシデントの原因として、旧Webサイトを構成していたMovableTypeの脆弱性が利用されたことが挙げられています。ただし、Webサイトにある幾つかのファイルを変更したり新たな不正ファイルの挿入を試みたところ、それが原因で現在のプラットフォームであるWordPressが不安定となり、攻撃者によるアクセスそのものもできなくなったということです。
対策として、不正アクセス元のIPアドレスからのアクセスをブロックし、不正アクセスによって送り込まれたファイルの排除と当該サイトのトップページへのアクセス障害を復旧したと発表されています。また、再発防止策として、原因となった古いMovableTypeのファイルは全て削除し、緊急の際に迅速に対応できるように緊急連絡体制とフローを構築、またIPA等の情報源を注視し、利用CMSや周辺プラグインが危機に晒されていないかを常に確認するフローを構築したということです。
緊急度が高かったCMSの脆弱性の詳細と対策
今回、インシデントの原因となったCMSの脆弱性について説明します。すでにサポート終了をしたバージョンを含む、MovableType 4.0以降のすべてのバージョンが本脆弱性の影響を受けますので、該当するバージョンのMovableTypeを使っている方は、すぐに最新版へアップデートするか、アップデートできない場合は回避策を適用しましょう。
今回の脆弱性は、OSコマンドインジェクションとされています。OSコマンドインジェクションとは、外部からの攻撃でサーバのOSコマンドが実行できてしまう脆弱性です。OSのコマンドを含むデータが、脆弱性の存在するプログラムで処理されることにより、サーバ上で意図しないOSコマンドが実行され、マルウェア感染やファイルの改ざんなどが行われます。
今回公表されたMovableTypeの場合、XMLRPC APIに細工したメッセージを送信することで、任意のOSコマンドが実行可能となるため、MovableTypeがインストールされているサーバ上でマルウェア感染やファイルの改ざんが行われる可能性があります。11月に入って、脆弱性を実証するコードが公開されており、実際に不審なファイルが設置される攻撃が確認されています。
脆弱性の対策としては、MovableTypeを最新版へアップデートすることが必要です。アップデートできない場合は、脆弱性が存在するmt-xmlrpc.cgiへのアクセスを制限したり、mt-config.cgiの設定を変更したりすることで、脆弱性の影響を軽減することが可能です。詳細は開発者が提供する情報を確認してください。
その他のトピック
公開された脆弱性に対して対応の優先順位をつける
公開されている脆弱性のうち、実際に使用している情報資産で、マルウェア感染など実際の脅威が存在している場合、速やかに対応することが求められます。(全文はこちら)