2016年4月22日、アイデアマンズ株式会社は同社製品の「ケータイキット for Movable Type」の脆弱性情報と緊急パッチを公開しました。既にこの脆弱性を悪用した不正アクセス被害が発生しています。ここでは関連情報をまとめます。
公式発表
開発元、およびバンドル製品を提供しているベンダより公開されている情報は次の通り。
アイデアマンズ
- 2016年4月22日 緊急パッチファイルの提供を開始 (魚拓)
- 2016年4月23日 [重要] ケータイキット for Movable Type 1.65 の提供を開始 (魚拓)
- 2016年4月25日 【重要】ケータイキット for Movable Typeの脆弱性をチェックする「KeitaiKit セキュリティチェック」プラグインを公開、[購入者向け]ケータイキットの脆弱性対策 特設ページを開設 (魚拓)
- 2016年4月28日 【重要】ケータイキット for Movable Typeの脆弱性により設置された不正ファイルを、詳細に発見・検査するツールを提供 (魚拓)
- 2016年5月2日 ケータイキット for Movable Type ライセンス登録状況の専用問い合わせ窓口 (魚拓)
- 2016年5月10日 ImageMagickの脆弱性に対応したケータイキット for Movable Type Ver.1.66の提供を開始 (魚拓)
シックス・アパート
- 2016年4月22日 [重要] ケータイキット for Movable Type のセキュリティパッチが公開されています (魚拓)
- 2016年4月23日 [重要] ケータイキット for Movable Type 1.65 の提供が開始されています (魚拓)
スカイアーク
- 2016年4月22日 【緊急】ケータイキット緊急パッチファイルの提供について (魚拓)
- 2016年4月25日 【重要】ケータイキットバージョンごとのパッチファイルおよび最新バージョン1.65の提供が開始されました。 (魚拓)
脆弱性概要
対象 | ケータイキット for Movable Type |
---|---|
CVE | CVE-2016-1204 CVE-2016-3714他(ImageTragick) |
影響 | RCE |
重要度 | CVE-2016-1204:緊急 |
PoC | CVE-2016-1204:公開なし。既に悪用あり。 |
CVSS(v3) | CVE-2016-1204:7.3(base) |
脆弱性情報
脆弱性の影響説明
ケータイキット for Movable Type の画像処理機能には、OS コマンドインジェクションの脆弱性が存在します。悪意のある任意のリクエストパラメータにより、任意の OS コマンドを実行される可能性があります。
https://www.ideamans.com/release/20160422/
タイムライン
日時 | 出来事 |
---|---|
2016年4月21日 0時〜3時 | J-WAVE Webサイトで当該製品を対象とした不正アクセスが発生。 |
2016年4月22日 | アイデアマンズが脆弱性情報を公開。緊急パッチをリリース。 |
同日 | スカイアークが約200社のユーザーへ注意喚起。 |
2016年4月23日 | アイデアマンズが修正版をリリース。 |
2016年4月25日 | アイデアマンズが脆弱性特設ページを開設。 |
2016年4月28日 | アイデアマンズが攻撃形跡検査ツールを公開。 |
2016年5月2日 | アイデアマンズが専用の問い合わせ窓口を公開。 |
2016年5月10日 | アイデアマンズがImageTragickの脆弱性などを修正した最新版を公開。 |
影響範囲
次のバージョンが影響を受ける。
CVE-2016-1204
- 1.35 〜 1.641のバージョン
CVE-2016-3714、XSSなど
- 1.65 以前のバージョン
バージョン確認方法
ケータイキットが導入されているか不明な場合は次のファイルが存在するかを確認する。
- [Movable Typeのインストール先]/plugins/KeitaiKit/php/KeitaiGraphic.php
次のファイルを参照することでバージョンが確認できた。
- [Movable Typeのインストール先]/plugins/KeitaiKit/keitaikit.pl
$VERSION = '1.641';
対策
- 修正版(ver 1.66)へ更新する。ver 1.35〜1.65までのユーザーは更新後に全体再構築が必要。
- 最新版はダウンロードサイトより入手可能。
- ver 1.641向け緊急パッチを適用していた場合もこの更新は必要。
回避策 (CVE-2016-1204)
- 更新ができない場合はパッチを適用する。(ダウンロードにはライセンスキーが必要。)
- パッチが適用出来ない場合は当該製品を削除する。
ケータイキット for Movable Type 最新版へのセキュリティアップデートおよび上記の緊急パッチファイルの適用ができない場合は、以下の対応を行うことで脆弱性の回避を行うことができます。
ケータイキット for Movable Type のプログラムファイルを削除します。削除するディレクトリは以下のとおりです。
Movable Typeのインストールディレクトリ/plugins/KeitaiKitこの対応により、ケータイキット for Movable Type は動作しなくなります。お早めに最新版のインストールを実施してください。
https://www.ideamans.com/release/20160423/
関連情報
この脆弱性が悪用されたインシデント。
- J-WAVE Webサイトへの不正アクセスについてまとめてみた
- avex 所属アーティスト公式サイト への不正アクセスについてまとめてみた
- 栄光ゼミナール Webサイトへの不正アクセスについてまとめてみた
テイパーズより「弊社取引先」(詳細不明)のケータイキットに関するインシデント発表を行っている。