2021年11月30日 / 最終更新日時 : 2021年12月27日 NKMR サポート 【注意喚起】Movable Typeの脆弱性を狙う悪質な攻撃 Movable Typeの脆弱性を狙う悪質な攻撃 # Movable Typeの公開ディレクトリ直下(/)にバックドアとして動作する不審なPHPファイルが配置される事例を確認しています。 2021年10月20日に公開されたMovable TypeのXMLRPC APIに細工したデータを送信することでリモートから悪用可能OSコマンドインジェクションの脆弱性(CVE-2021-20837)は、悪用されると、マルウエアに感染したり、第三者にサーバーを乗っ取られたりする被害に遭う恐れがある。サポートが終了しているバージョンを含む4.0以降のMovable Typeが対象となる。 ラックは2021年11月2日、コンテンツ管理システム(CMS)の「Movable Type」の脆弱性を悪用する攻撃が発生しているとして注意を呼び掛けた。当該の脆弱性(CVE-2021-20837)に関する情報は開発元であるシックス・アパートが2021年10月20日に公開し、同時に修正版の提供を開始した。 ラックの発表資料 JPCERTコーディネーションセンターもこの脆弱性に関する注意喚起を出した。その中で、アルファサードが開発・提供するCMS「PowerCMS」でも対処が必要だとしている。PowerCMSはMovable Typeがベースになっているため、この脆弱性の影響を受ける可能性があるという。アルファサードは脆弱性を修正するプログラム(パッチ)の提供を10月22日に開始している。 脆弱性の影響を受ける可能性のあるバージョンMovable Type 7 r.5003 より前のバージョンMovable Type Advanced 7 r.5003 より前のバージョンMovable Type 6.8.3 より前のバージョンMovable Type Advanced 6.8.3 より前のバージョンMovable Type Premium 1.47 より前のバージョンMovable Type Premium Advanced 1.47 より前のバージョン 独立行政法人情報処理推進機構(IPA)重要なセキュリティ情報一覧https://www.ipa.go.jp/security/announce/alert.html