Movable Typeのmt-upgrade.cgiプログラムの欠陥により任意のコードを実行される脆弱性(CVE-2013-0209)に関する検証レポート

2013/01/28
NTTデータ先端技術株式会社
辻 伸弘
渡邊 尚道

【概要】

Movable Typeに、リモートより任意のコードを実行される脆弱性が発見されました。
この脆弱性は、アップグレード関連プログラムであるmt-upgrade.cgiにて使用されている、lib/MT/Upgrade.pm関数の、エスケープ処理に不備があるために発生します。

この脆弱性を悪用して、攻撃者はターゲットホスト上にて、Webサーバの動作権限で任意のOSのコマンドおよびSQLクエリを実行することが可能です。

今回、このMovable Typeのmt-upgrade.cgiプログラムの欠陥により任意のコードを実行される脆弱性(CVE-2013-0209)の再現性について、検証を行いました。

検証環境には、HTTPリクエストを処理するためのWebサーバとデータベースを使用しています。

Movable Typeのmt-upgrade.cgiプログラムの欠陥により任意のコードを実行される脆弱性(CVE-2013-0209)に関する検証レポート

【影響を受けるとされているシステム】

  • Movable Type 4.2x系全てのバージョン
  • Movable Type 4.31から4.38のバージョン

【対策案】

シックス・アパート社より本脆弱性が修正されたMovable Type5.x系がリリースされております。5.x系へアップデートしていただくことを推奨します。4.38については修正プログラムがリリースされておりますが4.3x系はサポートが本年限りの予定であるためベンダーは5.x系へのアップデートを推奨しています。
また、4.2x系は既にメンテナンスを停止しております。

ダウンロードサイト

シックス・アパート社
http://www.sixapart.jp/movabletype/

Movable Type 4.38 patch to fix a known upgrading security issue
http://www.movabletype.org/2013/01/movable_type_438_patch.html

また、アップデートしない場合の回避策として、原因となっているmt-upgrade.cgiプログラムの削除、または実行権限の無効化により脆弱性を回避することができます。
このアクションについてシックス・アパート社は脆弱性の有無に関わらず推奨しています。

Q. インストールが終了したら削除するファイルはありますか
http://www.movabletype.jp/faq/post-7.html

【参考サイト】

CVE-2013-0209
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-0209

National Vulnerability Database (CVE-2013-0209)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-0209

JVNDB-2013-001237
http://jvndb.jvn.jp/ja/contents/2013/JVNDB-2013-001237.html

【検証イメージ】

【検証ターゲットシステム】

  • Debian 6.0.6上のMovable Type 4.38-ja
※Webサーバ・データベースを検証環境に含みます。

【検証概要】

ターゲットシステムに、細工したHTTPリクエストを送信し、Movable Typeのmt-upgrade.cgiを介して、Webサーバの動作権限で任意のコードを実行させます。
今回の検証に用いたコードは、ターゲットシステム上から特定のサーバ、ポートへコネクションを確立させるよう誘導し、システムの制御を奪取するものです。これにより、リモートからターゲットシステムが操作可能となります。

* 誘導先のシステムは Windows 7 です。

【検証結果】

下図は、攻撃後の誘導先のシステム画面です。

下図の赤線で囲まれている部分に示すように、誘導先のコンピュータ(Windows 7)のターミナル上にターゲットシステム(Debian)のプロンプトが表示されています。
黄線で囲まれている部分に示すように、ターゲットシステムにおいて、コマンドを実行した結果が表示されています。これにより、ターゲットシステムの制御の奪取に成功したと言えます。

PDF版のダウンロードはこちらから PDF版

※ 各規格名、会社名、団体名は、各社の商標または登録商標です。


 

Movable Typeのmt-upgrade.cgiプログラムの欠陥により任意のコードを実行される脆弱性(CVE-2013-0209)に関する検証レポート