MovableType7の脆弱性をつかれサイトが消し飛んだ話とMTアップデート

Web担の仕事
2021.11.07

11月5日金曜日、朝の通勤電車でたまたま自社コーポレートサイトをスマホで見ようとして、たまげた。
真っ白だったのだ。
「ファ!?」
スマホの通信障害?
いや、他のサイトは見れる。
サーバー障害?ドメイン関係のエラー?
うちの情報システム部で感知してるかもしれないと、会社のメールを確認すると、ウチの部署の部長宛に来てました。
「コーポレートサイトが表示されていません。原因は不明です。ベンダーに連絡してください」
部長の返信
「コーポレートサイトはベンダーに任せていないよ。運用はうちの部署でやってる。でも今日(担当の)井倉が休みで詳細は解らないんだ」

・・・いや、昨日、”明日のお休み取り消して出勤します”って直接言ったやないかい!(私、心の声)
メールにすぐに返信した。
「おはようございます、井倉です。レンタルサーバーのお知らせに障害情報はでていませんでした。テストサイトのほうは閲覧できました。ドメイン系の問題かもです」
とりあえず急いで会社に向かう。(いやいつもの日課のコンビニは寄り道しましたけど)

「おはようございます、部長。すぐ調査しますね」
「あれ、今日休みじゃなかったんだっけ」

PCを立ち上げいろいろ確認。サーバーに接続してみると普通につながった。サーバー内にはファイル一式もちゃんとある。サーバーのコントロールパネルにもログインできた。障害情報は、やはりでていない。情シスからさらに情報が入った。
「IPアドレスでも見れないです」
ってことはドメインの問題ではなさそうだ。情シスに電話して情報共有。情シスはレンタルサーバーの契約窓口ではあるけど管理はしていないので情報が部内で共有されていない、らしい(知らなかったよ!)。そこで情シスに情報渡してサーバーを見てもらい要因が発見された。
「不審なファイルがルートに複数あがっている」
だれも触っていないはずの7:24に5つの見慣れないファイルがポストされていた。

同時刻にあがっていた不審なファイルたち

これらファイルを削除したら無事にサイトは表示された。でもヘッダーが表示されない。不審なファイルの内の1つが.htacssesで、元々あった.htacssesが上書きされていたものを削除したため。ヘッダーは.htacsses でSSL(サーバーサイドインクルード)している。このファイルだけバックアップから戻すとヘッダーも無事に表示された。

とりあえず、復旧はした。時間は9:51。

アクセスログを確認すると 7:24 前後に不審なPOSTアクセスが発見された。こいつか。
(アクセスログチェックするなんて入社して4年でたった2度目だよ)
不正アクセスのもととなったのはMovableType関連ファイル「mt-xmlrpc.cgi」だった。

「MovableTypeをバージョンアップしたほうがよさそうです」
情シスから指摘いただき、思い出した。10/20にバージョンアップの通知が来ていたことを。MTのVer UPってめんどくさいから後回しにしていたんだよね。。
「今日このあと、すぐ実施します」
MTシステム本体のバージョンアップ。すぐに対応できるのはインハウス運用のメリットではある。私にしかできない属人的な作業だけれど。

①シックスアパート社の管理サイトにログインして最新版をダウンロードする
最新バージョンは2021/10/20にリリースされたr.5003
なお使用中のバージョンはr.4607でした。
②ダウンロードしたシステム本体のzipファイルを解凍する
③サーバーのMT格納ディレクトリに起動中のものとは別のディレクトリ名でいったんアップロードする
 起動中ディレクトリ名 mt
 最新版ディレクトリ名 mt_new
④起動中のシステム本体から移動が必要なファイルをいくつか移動する
⑤システム本体が入っているディレクトリ名を入れ替えるようにリネームする
 起動中ディレクトリ名 mt → mt_backup
 最新版ディレクトリ名 mt_new → mt
⑥mt.cgiにアクセスして表示に従いインストール操作
⑦問題が起こらなければ完了

⑥が一番緊張するところだ。
トラブルが発生しても戻せるように、バックアップを取ったり検証環境で一度テストするのが正攻法なのだけど。とりあえず④までやったら12時になったのでランチ休憩へ~♪

ランチから戻ってさあ続きを!と思いコーポレートサイトを見ると
「ファ!?」
またしても「真っ白」。
またしても不審なファイル5つがアップロードされていたのだ。
く、くそ!敵は見ているのか。
これは悠長にテストなんかしてたら何度でもやられる。猶予はない。
テストなしで最新版のインストールをポチっとな。(良い子はマネしちゃダメなやつ)

無事、完了。

その後、念のためすぐできそうなセキュリティ対策はいくつか実施。cgiファイルのパラメータを強めるとか使っていないアカウントを閉じるとか。
その後は夜まで特に問題はなく、帰りました。

久しぶりにヒートアップしたトラブルでした。

MobableTypeはWordPressと比較すると比較的安心、とぼんやりと思っていたけど甘かった。脆弱性が公式発表され2週間たらずで攻撃をうけるとは。昨今MTを使っているサイトが少ないのが逆にターゲットにされやすかったのだろうか。

関連リンク:
[重要] Movable Type 7 r.5003 / Movable Type 6.8.3 / Movable Type Premium 1.47 の提供を開始(セキュリティアップデート)
https://www.sixapart.jp/movabletype/news/





コメント

タイトルとURLをコピーしました