旧バージョンの Movable Type 利用に関する注意喚起
JPCERT コーディネーションセンターより、長い間バージョンアップされずに利用されている古いバージョンの Movable Type を対象にした攻撃による Web サイトの改ざん被害などについて注意喚起が出されています。
JPCERT コーディネーションセンター (JPCERT/CC) より、長い間バージョンアップされずに利用されている古いバージョンの Movable Type を対象にした攻撃による Web サイトの改ざん被害などについて注意喚起が出されています。
JPCERT/CC では、古いバージョンの Movable Type を使用している Web サイトが改ざんされるインシデントの報告を多数受領しています。
受領した報告では、Movable Type の既知の脆弱性を使用した攻撃により、不正なファイルが Web サイトに設置されたり、Web サイトの既存のコンテンツ内に、攻撃サイトへと誘導する iframe や難読化された JavaScript が埋め込まれたりする事例を確認しています。
今回の古いバージョンの Movable Type を使用している Web サイトの改ざん事例の全てが、脆弱性に起因するものであるとは確認できていませんが、脆弱性を内在した状態で運用を行っている場合、攻撃者によって脆弱性を突かれ、Web 改ざんなどの被害を受ける可能性があります。未然防止の観点から、Movable Type だけでなく、OS やその他のソフトウエアも含め、最新の状態にアップデートすることをお勧めします。
また、開発元のシックス・アパート社は Movable Type を安全に利用するためのアドバイザリを公開しています。
詳しくは下記のリンク先記事をご覧ください。
元記事: 旧バージョンの Movable Type の利用に関する注意喚起 : JPCERT/CC
- 1