-
タグ
タグ
- セキュリティ
- 人材開発・教育
- システム開発
- アプリ開発
- モバイルアプリ
- DX
- AI
- サイバー攻撃
- サイバー犯罪
- 標的型攻撃
- 脆弱性
- 働き方改革
- 企業市民活動
- 攻撃者グループ
- JSOC
- JSOC INSIGHT
- サイバー救急センター
- サイバー救急センターレポート
- LAC Security Insight
- セキュリティ診断レポート
- サイバー・グリッド・ジャパン
- CYBER GRID JOURNAL
- CYBER GRID VIEW
- ラックセキュリティアカデミー
- すごうで
- ランサムウェア
- ゼロトラスト
- ASM
- EDR
- SASE
- デジタルアイデンティティ
- インシデントレスポンス
- 情シス向け
- 対談
- CIS Controls
- Tech Crawling
- クラウド
- クラウドインテグレーション
- データベース
- アジャイル開発
- DevSecOps
- OWASP
- CTF
- FalconNest
- セキュリティ診断
- IoT
- EC
- サプライチェーンリスク
- スレットインテリジェンス
- テレワーク
- リモートデスクトップ
- アーキテクト
- プラス・セキュリティ人材
- 障がい者採用
- 官民学・業界連携
- カスタマーストーリー
- 白浜シンポジウム
- CODE BLUE
- 情報モラル
- クラブ活動
- 初心者向け
- 趣味
- カルチャー
- 子育て、生活
- 広報・マーケティング
- コーポレート
- ライター紹介
- IR
攻撃元IPアドレスについて追記しました。
あて先ドメインを追記しました。
JSOCアナリストの西部です。
2021年10月20日に公開されたMovable TypeのXMLRPC APIに存在するリモートから悪用可能な脆弱性(CVE-2021-20837)は、10月26日頃に概念実証コード(PoC)が公開されています。
JSOCでは、前述のPoCを用いた検証の結果、当該脆弱性が容易に悪用可能であることを確認しました。また、スレットインテリジェンス基盤で当該脆弱性を悪用しようとする動きを確認したためJSOCオリジナルシグネチャ(JSIG)を緊急リリースしました。
JSIGで検知した通信を分析した結果、脆弱なMovable Typeが外部からアクセス可能な状態で稼働している環境を確認したほか、サーバにバックドアが作成されるなど複数の被害を確認したため、注意を喚起します。
脆弱性の概要
Movable TypeのXMLRPC APIには、任意のOSコマンド実行が可能な脆弱性(CVE-2021-20837)があります。
本脆弱性の悪用を目的とした特別なリクエストを受け取った場合に、OSコマンドが実行され、様々な被害を受ける可能性があります。
脆弱性の影響を受ける可能性のあるバージョンは以下の通りです。
- Movable Type 7 r.5003 より前のバージョン
- Movable Type Advanced 7 r.5003 より前のバージョン
- Movable Type 6.8.3 より前のバージョン
- Movable Type Advanced 6.8.3 より前のバージョン
- Movable Type Premium 1.47 より前のバージョン
- Movable Type Premium Advanced 1.47 より前のバージョン
開発者によると、サポートを終了したバージョンを含むMovable Type 4.0以上(Advanced、Premiumも含む)が影響を受けます。
攻撃の観測状況
JSOCのスレットインテリジェンス基盤では、10月27日より、この脆弱性の悪用を目的とした活動を観測しています。当初は文字列を表示するだけなど、本格的な悪用ではなく、脆弱性の有無を調べるような通信でした。
一方で11月1日頃に観測した活動は、脆弱な環境に不審ファイルを配置するなど、悪質な攻撃です。この攻撃を受けた脆弱なサーバは、外部サイトにアクセスし不審ファイルを取得したうえで、公開ディレクトリに配置します。
JSOCでは、Movable Typeの公開ディレクトリ直下(/)にバックドアとして動作する不審なPHPファイルが配置される事例を確認しています。
不審ファイル作成を試みる攻撃元IPアドレスは以下の通りです。
- 198.12.124.87
※ 2021年11月9日 更新:現在は上記以外の複数のIPアドレスからも攻撃が行われています。
上記活動を含め、以下のあて先にアクセスさせる意図の攻撃を確認しています。
| あて先ドメイン | アクセスさせる目的 |
|---|---|
| pastebin[.]com | バックドアファイルの取得など |
| *.interactsh[.]com(*は任意の文字列) | 脆弱であることを攻撃者に知らせる |
| anonymousfox[.]mx | バックドアファイルの取得 |
| anonymousfox[.]io | バックドアファイルの取得 |
| twiter.com[.]co | 不審ファイルの取得 |
※ 2021年11月9日 更新:さらなる攻撃活動および被害拡大を確認したため、当該活動で観測したドメインを追記しました。
対策・対応
脆弱なバージョンかつ回避策が導入されていない状態でMovable Typeを利用している場合には、早急なアップデートをご検討ください。あわせて、すでに攻撃の影響を受けている可能性があるため、以下の観点で調査を行うことを推奨します。
- サーバ上、特にMovable Typeの公開ディレクトリ内に不審なファイルがないか
- 悪質な攻撃元IPアドレスからのアクセスログがないか
- 攻撃の影響を受ける「/mt-xmlrpc.cgi」を含むパスについて、外部からアクセスログがないか
- 前述のあて先ドメインへ通信を試みたログがないか
上記のログに関する観点は、管理外のホストなどにMovable Typeが構築されている可能性がある場合でも、FWやプロキシサーバなどを調査することにより、攻撃および被害を発見できる場合があります。
参考URL
[重要] Movable Type 7 r.5003 / Movable Type 6.8.3 / Movable Type Premium 1.47 の提供を開始(セキュリティアップデート)
この記事をシェアする
タグ
- セキュリティ
- 人材開発・教育
- システム開発
- アプリ開発
- モバイルアプリ
- DX
- AI
- サイバー攻撃
- サイバー犯罪
- 標的型攻撃
- 脆弱性
- 働き方改革
- 企業市民活動
- 攻撃者グループ
- JSOC
- もっと見る +
- JSOC INSIGHT
- サイバー救急センター
- サイバー救急センターレポート
- LAC Security Insight
- セキュリティ診断レポート
- サイバー・グリッド・ジャパン
- CYBER GRID JOURNAL
- CYBER GRID VIEW
- ラックセキュリティアカデミー
- すごうで
- ランサムウェア
- ゼロトラスト
- ASM
- EDR
- SASE
- デジタルアイデンティティ
- インシデントレスポンス
- 情シス向け
- 対談
- CIS Controls
- Tech Crawling
- クラウド
- クラウドインテグレーション
- データベース
- アジャイル開発
- DevSecOps
- OWASP
- CTF
- FalconNest
- セキュリティ診断
- IoT
- EC
- サプライチェーンリスク
- スレットインテリジェンス
- テレワーク
- リモートデスクトップ
- アーキテクト
- プラス・セキュリティ人材
- 障がい者採用
- 官民学・業界連携
- カスタマーストーリー
- 白浜シンポジウム
- CODE BLUE
- 情報モラル
- クラブ活動
- 初心者向け
- 趣味
- カルチャー
- 子育て、生活
- 広報・マーケティング
- コーポレート
- ライター紹介
- IR