Movable TypeのXMLRPC脆弱性問題は、対岸の火事ではなかった。
2021年10月の終わり頃から話題になっていたMovable Typeの脆弱性問題。
一部の管理サイトでMovable Typeを利用しているので、ぼちぼち対処したほうがよかろうなぁ…と悠長に構えていたら、やられた。
症状は…
- ドキュメントルートの .htaccess が書き換えられる。
- ドキュメントルートに .FoxEx-v1、.FoxRSF-v1 などのファイルが書き込まれる。
- ランダム英数字で構成されたファイル名の .php ファイルが幾つか、ドキュメントルートに設置される。
これは極々、初期段階の状態らしく、気づかずに対処が遅れると更に…
- 公開ディレクトリ下のすべてのディレクトリに、不正な .htaccess を置かれる。
- すべてのJavascriptファイルの末尾に、不正なJavascriptコードが挿入される。
- サイトにアクセスすると、不正なサイトへのリダイレクトが行われる。
などなど、もう手に負えない状況に陥るようです。
緊急避難的な対処法は…
- 可能であれば、ウェブサーバを一時停止、あるいは外部から接続できなくする。
- mt-xmlrpc.cgi を削除するか、実行権限をなくす。
- さしあたり、Movable Typeのパスワードと、データベース接続パスワードを変更。
- 不正に書き換え/書き込みされたファイルの削除/復旧。個別削除が難しい場合は、公開ディレクトリを丸ごと、確実に安全であると思われる日付のバックアップと入れ替える。
ひとまず落ち着いたら…
- サーバホスティング業者やプロバイダーに事象を報告。
- 念の為、サーバ内のすべてのパスワードを変更。
- Movable Typeを、脆弱性が修正されたバージョンにアップデート。
- サーバのセキュリティ設定の見直し。
…で、充分に安全を確認した上で、サーバを再稼働。
常日頃から心がけておくべきは…
- 巷のセキュリティ情報に耳を澄ましておく。
- 自作/他作を問わず、データの入力を伴うスクリプトは細心の注意を払って作成/運用する。
- ウェブ公開ディレクトリ、出来ればホームディレクトリ全体のバックアップをマメに取る。バックアップ、大事。
今回の Movable Type については、mt-xmlrpc.cgiだけでなく、トラックバック機能を利用していないならmt-tb.cgiの、コメント機能を利用しないならmt-comments.cgiの実行権限も不要だったりします。
また、WordPressでも、XMLRPC APIに潜在的な脆弱性が存在する可能性は否定できないので、この機能を利用していないのであれば、Disable XML-RPCという有能なプラグインをインストールして、機能をオフっておきましょう。
では、ご安全に。
コメント