18/11/2021
MovableTypeを使用されている弊社のお客様で被害が発生したので、注意喚起のご報告です。
mt-xmlrpc.cgi を経由してサーバーコマンドを叩けるという脆弱性のようですが、具体的には、
■11月18日0:07 - 82.165.117.38(デンマーク?)からmt-xmlrpc.cgiに2度アクセス、4つの新しいファイルが流し込まれる
■1ファイルはphpで、ファイルをサーバーに自由にアップできるフォーム
■1ファイルは、ファイルの拡張子はphpですが中身はexeファイルっぽいもの。コンパイルされているのでわからない、マルウェアかも。
■その他2ファイルは中身が空。
■.htaccess が書き換えられたため、これ以降サーバーがエラーで動作しなくなる。
今回はたまたま .htaccess の改ざんでサイト自体が動かなくなった事が幸いしましたが、サーバーが自由に改ざんできるほか、踏み台として他のサーバーも攻撃できた可能性が高いです。
お気をつけください。
[参考]
https://www.ipa.go.jp/security/ciadr/vul/20211020-jvn.html
https://www.sixapart.jp/movabletype/news/2021/10/20-1100.html?_fsi=hQ5Q5gB3
Movable Type に発見されたセキュリティ問題を解消した修正バージョンとして Movable Type 7 r.5003 の提供を開始します。また、これに伴い、Movable Type Premium および Movable Typ...