著名なセキュリティーリサーチャーのpiyokango氏が注目のシステムトラブルをピックアップ。今週の注目ネタは……。
今回は、3件のトピックを取り上げる。Movable Typeに見つかった脆弱性と、ムトー精工のランサムウエア被害、クラレの個人情報流出である。
別のCMSでもパッチ提供が始まる
ラックは2021年11月2日、コンテンツ管理システム(CMS)の「Movable Type」の脆弱性を悪用する攻撃が発生しているとして注意を呼び掛けた。当該の脆弱性(CVE-2021-20837)に関する情報は開発元であるシックス・アパートが2021年10月20日に公開し、同時に修正版の提供を開始した。
CVE-2021-20837は、Movable TypeのXMLRPC APIに細工したデータを送信することでリモートから攻撃が可能なOSコマンドインジェクションの脆弱性。悪用されると、マルウエアに感染したり、第三者にサーバーを乗っ取られたりする被害に遭う恐れがある。サポートが終了しているバージョンを含む4.0以降のMovable Typeが対象となる。
ラックによれば、サーバーにバックドアが作成されるなど複数の被害を確認したという。脆弱性の動きを確認できる実証コード(PoC)は10月26日ごろに公開され、10月27日からこの脆弱性を悪用しようとする活動が観測されたとしている。同社はアップデートを早急に行うことに加え、既に攻撃を受けている可能性があるとして影響の調査を行うことを推奨している。
JPCERTコーディネーションセンターもこの脆弱性に関する注意喚起を出した。その中で、アルファサードが開発・提供するCMS「PowerCMS」でも対処が必要だとしている。PowerCMSはMovable Typeがベースになっているため、この脆弱性の影響を受ける可能性があるという。アルファサードは脆弱性を修正するプログラム(パッチ)の提供を10月22日に開始している。
