トップ セキュリティ情報 2021年度 <更新>【注意喚起】Movable TypeのXMLRPC APIにおける脆弱性(CVE-2021-20837)に関する注意喚起

<更新>【注意喚起】Movable TypeのXMLRPC APIにおける脆弱性(CVE-2021-20837)に関する注意喚起

2021年12月22日 南大沢 日野 荒川

※情報が更新されている可能性がありますので、最新情報は以下を参照ください。
https://www.jpcert.or.jp/at/2021/at210047.html
引用元: JPCERTコーディネーションセンター 注意喚起

Movable TypeのXMLRPC APIにおける脆弱性(CVE-2021-20837)に関する注意喚起がありました。

I. 概要
2021年10月20日、シックス・アパート株式会社は、Movable TypeのXMLRPC APIにおけるOSコマンド
インジェクションの脆弱性(CVE-2021-20837)に関する情報を公開しました。本脆弱性が悪用された
場合、遠隔の第三者が、任意のOSコマンドを実行する可能性があります。

 シックス・アパート株式会社
  [重要] Movable Type 7 r.5003 / Movable Type 6.8.3 / Movable Type Premium 1.47 の提供を開始
 (セキュリティアップデート)
 https://www.sixapart.jp/movabletype/news/2021/10/20-1100.html

影響を受けるMovable Typeを使用している場合、シックス・アパート株式会社が公開している情報を
確認し、速やかに対策を適用することを推奨します。

** 更新: 2021年11月5日追記 *********************************************************************
JPCERT/CCは、2021年10月26日に本脆弱性を実証するコード(PoC)が公開されていることを確認
しています。

また、株式会社ラックによると、10月27日から脆弱性の有無を調べる通信が、11月1日には脆弱な環境
に不審ファイルを配置することを目的とした通信がそれぞれ観測されており、実際にファイルが配置さ
れる事例も確認されているとのことです。

影響を受けるバージョンを利用されている場合は、速やかに対策を適用することとあわせて、株式会社
ラックが公開している情報をもとに攻撃の有無を調査することを推奨します。

 株式会社ラック
 【注意喚起】Movable Typeの脆弱性を狙う悪質な攻撃を観測、至急対策を!
 https://www.lac.co.jp/lacwatch/alert/20211102_002780.html

************************************************************************************************

** 更新: 2021年11月9日追記 *********************************************************************
2021年10月22日、アルファサード株式会社からPowerCMSのXMLRPC APIにおける脆弱性について
対策したPowerCMSのパッチが公開されました。

PowerCMSは、Movable Typeをベースとした製品であり、本脆弱性と同様の影響を受ける可能性が
あるため、アルファサード株式会社が公開している情報を確認し、速やかに対策を適用することを
推奨します。

 アルファサード株式会社
 PowerCMS 5.19 / 4.49 / 3.295 向けパッチについて (XMLRPC API における OS コマンド・インジェ
 クションの脆弱性対策)
 https://www.powercms.jp/news/release-patch-xmlrpc-api-202110.html

************************************************************************************************

** 更新: 2021年11月25日追記 ********************************************************************
2021年10月22日にアルファサード株式会社から公開されたPowerCMSのパッチに関して、本パッチで
対策されたXMLRPC APIにおける脆弱性にCVE-2021-20850が採番されました。

 Japan Vulnerability Notes JVN#17645965
 PowerCMS の XMLRPC API における OS コマンドインジェクションの脆弱性
 https://jvn.jp/jp/JVN17645965/

************************************************************************************************

** 更新: 2021年12月16日追記 ********************************************************************
2021年12月16日、シックス・アパート株式会社は、2021年10月20日に公開したバージョンの修正が
不十分であることが確認されたと発表し、本脆弱性を修正するバージョンを公開しました。

 シックス・アパート株式会社
 [重要] Movable Type 7 r.5005 / Movable Type 6.8.5 / Movable Type Premium 1.49 の提供を開始
 (セキュリティアップデート)
 https://www.sixapart.jp/movabletype/news/2021/12/16-1400.html

************************************************************************************************

** 更新: 2021年12月17日追記 ********************************************************************
2021年12月16日、アルファサード株式会社は、2021年10月22日に公開した修正ファイルの対策が
不十分であったとして、不十分であったケースについて対策を行った修正ファイルを公開しました。

 アルファサード株式会社
 XMLRPC API おける OS コマンド・インジェ
 クションの脆弱性 (JVN#17645965) 対策の修正ファイルについて
 https://www.powercms.jp/news/release-fix-xmlrpc-api-202112.html

************************************************************************************************


II. 対象
次のバージョンのMovable Typeが本脆弱性の影響を受けます。

 - Movable Type 7 r.5004およびそれ以前(Movable Type 7系)
 - Movable Type 6.8.4およびそれ以前(Movable Type 6系)
 - Movable Type Advanced 7 r.5004およびそれ以前(Movable Type Advanced 7系)
 - Movable Type Advanced 6.8.4およびそれ以前(Movable Type Advanced 6系)
 - Movable Type Premium 1.48およびそれ以前
 - Movable Type Premium Advanced 1.48およびそれ以前

** 更新: 2021年12月16日追記 ********************************************************************
脆弱性(CVE-2021-20837)の影響を受けるバージョン情報を更新しました。

************************************************************************************************

開発者によると、すでにサポート終了をしたバージョンを含む、Movable Type 4.0以降のすべての
バージョンが本脆弱性の影響を受けるとのことです。


III. 対策
シックス・アパート株式会社から本脆弱性を修正した次のバージョンが公開されています。速やかに
対策の実施をご検討ください。

 - Movable Type 7 r.5005(Movable Type 7系)
 - Movable Type 6.8.5(Movable Type 6系)
 - Movable Type Advanced 7 r.5005(Movable Type Advanced 7系)
 - Movable Type Advanced 6.8.5(Movable Type Advanced 6系)
 - Movable Type Premium 1.49
 - Movable Type Premium Advanced 1.49

** 更新: 2021年12月16日追記 ********************************************************************
脆弱性(CVE-2021-20837)の対策バージョン情報を更新しました。

************************************************************************************************


IV. 回避策
本脆弱性への早期対策実施が難しい場合、脆弱性を悪用する攻撃の影響を軽減するため、シックス・
アパート株式会社より回避策が公開されています。詳しくは、シックス・アパート株式会社が提供する
情報をご確認ください。


V. 参考情報
 シックス・アパート株式会社
 [重要] Movable Type 7 r.5003 / Movable Type 6.8.3 / Movable Type Premium 1.47 の提供を開始
 (セキュリティアップデート)
 https://www.sixapart.jp/movabletype/news/2021/10/20-1100.html

 Japan Vulnerability Notes JVN#41119755
 Movable Type の XMLRPC API における OS コマンドインジェクションの脆弱性
 https://jvn.jp/jp/JVN41119755/

** 更新: 2021年12月16日追記 ********************************************************************
 シックス・アパート株式会社
 [重要] Movable Type 7 r.5005 / Movable Type 6.8.5 / Movable Type Premium 1.49 の提供を開始
 (セキュリティアップデート)
 https://www.sixapart.jp/movabletype/news/2021/12/16-1400.html

************************************************************************************************
________
改訂履歴
2021-10-20 初版
2021-11-05 「I. 概要」の追記
2021-11-09 「I. 概要」の追記
2021-11-25 「I. 概要」の追記、2021年11月9日追記内容の修正
2021-12-16 「I. 概要」、「V. 参考情報」の追記、「II. 対象」、「III. 対策」の一部記載の追記・更新
2021-12-17 「I. 概要」の追記

ページ上部へ戻る