MovableTypeのXMLRPC APIにおける脆弱性を利用した攻撃を受けてしまいました（経過・復旧・対応方法）

2021年10月20日に、IPAから情報提供されている、「Movable Type」の XMLRPC API における OS コマンド・インジェクションの脆弱性ですが、当サイトも攻撃を食らっておりました…。
というのも、昔Movable Type（以下MT）でブログを作っていた時があり、サイトをそのまま残してしまっていたため、脆弱性のあるmt-xmlrpc.cgiが放置されたままの状態でした。
同様に、mt-xmlrpc.cgiの脆弱性を利用した攻撃を受けた方のために、被害状況と、対応について説明いたします。

「Movable Type」の XMLRPC API における OS コマンド・インジェクションの脆弱性について
https://www.ipa.go.jp/security/ciadr/vul/20211020-jvn.html

この脆弱性を利用した攻撃ですが、攻撃者がmt-xmlrpc.cgiの有無をボットを利用して手当たり次第確認し、見つけ次第攻撃する手法を採っているように思われます。
※ほぼ使っていない、アクセスが滅多に無いサイトのMTに対して攻撃を受けましたので、かなり広範囲に収集しているようです。
PowerCMSでも同様の脆弱性があり、企業、個人含め脆弱性対応していないサイトは多数あると予想されますので、今後被害を受けるサイトも多数出てくるのでは、と思います。

■被害を受けた日時
2021年11月23日 17時32分

■被害を把握した日時
2021年11月23日 18時頃

■把握出来たきっかけ
Webサイトが403エラーになったため

■403エラーの原因特定
サーバーにアクセスしたところ、設置した記憶が無いファイルが存在することを確認しました。
.htaccessに記載されているディレクティブが実行不可だったため、403エラーになっていました。
幸い、403エラーが表示されていたため、設置されたトロイの木馬についてもアクセス出来ない状況となっていました。
また、トロイの木馬が設置されたディレクトリは、Webサイトとして使っていないディレクトリだったため、403エラーでなくても被害は無かったものと思われます。

■設置されたファイル
設置されたファイルは、
１，Webサーバーの全ディレクトリに、.htaccessが設置される
２，CVE-2016-5195.I トロイの木馬の変種のファイルがWebサーバー直下に設置される
となります。

１，Webサーバーの全ディレクトリに、.htaccessが設置される
バーチャルホストを利用して複数のサイトを設置していますが、すべてのサイトの、すべてのディレクトリに、.htaccessが設置されていました。
設置された.htaccessの中身は以下となります。
このサイトも含め、WordPressを使っていますが、FilesMatchを見るにWordPressも乗っ取れるよう、アクセス権限を変更しているように見受けられます。
———
<FilesMatch “.(PhP|php5|suspected|phtml|py|exe|php|asp|Php|aspx)$”>
Order allow,deny
Deny from all
</FilesMatch>
<FilesMatch “^(postfs.php|votes.php|wjsindex.php|lock666.php|font-editor.php|ms-functions.php|contents.php|jsdindex.php|wp-login.php|load.php|themes.php|admin.php|settings.php)$”>
Order allow,deny
Allow from all
</FilesMatch>
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index.php$ – [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . index.php [L]
</IfModule>
———

２，CVE-2016-5195.I トロイの木馬の変種のファイルがWebサーバー直下に設置される
ファイル名は「FoxAuto-N」のほか、同じようなファイル名のものがいくつか存在していました。
これらは、サーバー上で削除しています。
セキュリティソフトのESETによる評価は「FoxAuto-N;Linux/Exploit.CVE-2016-5195.I トロイの木馬の変種」でした。

■復旧対応
不正に設置された.htaccessにより403エラーが発生していましたので、全ディレクトリから、.htaccessを削除しました。
WordPressの動作に必要な.htaccessは、再作成しました。
全ディレクトリのファイル削除を手動で行うのは大変なので、WinSCPのファイル検索機能を利用して抽出→一括削除を行いました。

他に、不正に設置されたファイルがないか確認しましたが、確認されませんでした。
※.htaccessと同じ頃に更新されたファイルが無いか、タイムスタンプで確認

データベースも確認しましたが、こちらには問題はありませんでした。

■脆弱性への対応
MTは使っていないため、全ファイルを削除しました。
MTを使っている場合は、mt-xmlrpc.cgiの権限から実行権限を削除する、あるいはmt-xmlrpc.cgi自体を削除するのが良いと思います。
また、念のためサーバーパスワードをより複雑なものへ変更しました。

One thought on “MovableTypeのXMLRPC APIにおける脆弱性を利用した攻撃を受けてしまいました（経過・復旧・対応方法）”

A.M on 2021年12月16日

2021年12月13日に同様の被害に遭いました。Webサーバのルートにindex.phpなどが作成されており、FoxAuto-Nというプロセスが2つ常駐して動いていました。
.htaccessは.well-knownというフォルダの下に入っていました。とりあえずこの記事を参考にさせていただきMovableTypeのcgiの実行権限を落として様子を見てみます。

返信