Movable TypeのXMLRPC脆弱性問題は、対岸の火事ではなかった。

2021年10月の終わり頃から話題になっていたMovable Typeの脆弱性問題。

一部の管理サイトでMovable Typeを利用しているので、ぼちぼち対処したほうがよかろうなぁ…と悠長に構えていたら、やられた。

症状は…

  • ドキュメントルートの .htaccess が書き換えられる。
  • ドキュメントルートに .FoxEx-v1、.FoxRSF-v1 などのファイルが書き込まれる。
  • ランダム英数字で構成されたファイル名の .php ファイルが幾つか、ドキュメントルートに設置される。

これは極々、初期段階の状態らしく、気づかずに対処が遅れると更に…

  • 公開ディレクトリ下のすべてのディレクトリに、不正な .htaccess を置かれる。
  • すべてのJavascriptファイルの末尾に、不正なJavascriptコードが挿入される。
  • サイトにアクセスすると、不正なサイトへのリダイレクトが行われる。

などなど、もう手に負えない状況に陥るようです。

緊急避難的な対処法は…

  • 可能であれば、ウェブサーバを一時停止、あるいは外部から接続できなくする。
  • mt-xmlrpc.cgi を削除するか、実行権限をなくす。
  • さしあたり、Movable Typeのパスワードと、データベース接続パスワードを変更。
  • 不正に書き換え/書き込みされたファイルの削除/復旧。個別削除が難しい場合は、公開ディレクトリを丸ごと、確実に安全であると思われる日付のバックアップと入れ替える。

ひとまず落ち着いたら…

…で、充分に安全を確認した上で、サーバを再稼働。

常日頃から心がけておくべきは…

  • 巷のセキュリティ情報に耳を澄ましておく。
  • 自作/他作を問わず、データの入力を伴うスクリプトは細心の注意を払って作成/運用する。
  • ウェブ公開ディレクトリ、出来ればホームディレクトリ全体のバックアップをマメに取る。バックアップ、大事

今回の Movable Type については、mt-xmlrpc.cgiだけでなく、トラックバック機能を利用していないならmt-tb.cgiの、コメント機能を利用しないならmt-comments.cgiの実行権限も不要だったりします。

また、WordPressでも、XMLRPC APIに潜在的な脆弱性が存在する可能性は否定できないので、この機能を利用していないのであれば、Disable XML-RPCという有能なプラグインをインストールして、機能をオフっておきましょう。

では、ご安全に。

カテゴリ: