Movable Type及びPowerCMSのXMLRPC APIにおける脆弱性(CVE-2021-20837及びCVE-2021-20850)を標的とした攻撃の観測について
2021年12月17日
概要
- CMSプラットフォームである「Movable Type」及び「PowerCMS」のXMLRPC APIにおける脆弱性(CVE-2021-20837及びCVE-2021-20850)に関する情報が、それぞれシックス・アパート株式会社及びアルファサード株式会社から公表されています。
- 11月18日以降、当該脆弱性を標的とした攻撃を観測しています。
- 観測している攻撃は、当該脆弱性のあるサーバの公開ディレクトリ上に不審なファイルを配置するものです。
グラフ
- このグラフは、全国の警察施設のインターネット接続点に設置されたセンサーで観測したアクセス(件数)の1センサー当たりの平均の推移を示したものです。なお、このグラフは一時間毎に更新致します。また、今後の観測状況によっては、予告なく更新を停止する場合があります。
影響を受けるシステム
- Movable Type 7 r.5004及びそれ以前(Movable Type 7系)
- Movable Type 6.8.4及びそれ以前(Movable Type 6系)
- Movable Type Advanced 7 r.5004及びそれ以前(Movable Type Advanced 7系)
- Movable Type Advanced 6.8.4及びそれ以前(Movable Type Advanced 6系)
- Movable Type Premium 1.48及びそれ以前
- Movable Type Premium Advanced 1.48及びそれ以前
- PowerCMS 5.19/4.49/3.295を含むそれ以前
対策
- 脆弱性の影響を受けるMovable Typeの利用者は、シックス・アパート株式会社が公開している情報を確認し、対策を適用してください。
- 脆弱性の影響を受けるPowerCMS の利用者は、アルファサード株式会社が公開している情報を確認し、対策を適用してください。
参考
- 深刻な脆弱性への追加修正を行った Movable Type の再修正版をリリース 至急アップデートをお願いします
https://www.sixapart.jp/press_releases/2021/12/16-1400.html - XMLRPC API おける OS コマンド・インジェクションの脆弱性 (JVN#17645965) 対策の修正ファイルについて
https://www.powercms.jp/news/release-fix-xmlrpc-api-202112.html - Movable Type 7 r.5003 / Movable Type 6.8.3 / Movable Type Premium 1.47 の提供を開始(セキュリティアップデート)
https://www.sixapart.jp/movabletype/news/2021/10/20-1100.html - PowerCMS 5.19 / 4.49 / 3.295 向けパッチについて (XMLRPC API における OS コマンド・インジェクションの脆弱性対策)
https://www.powercms.jp/news/release-patch-xmlrpc-api-202110.html - Movable TypeのXMLRPC APIにおける脆弱性(CVE-2021-20837)に関する注意喚起)
https://www.jpcert.or.jp/at/2021/at210047.html