CVE-2024-23755: ClickUp Desktop App Vulnerability Patched, Users Urged To Update
2024/03/24 SecurityOnline — オールインワンの生産性プラットフォームとして人気の ClickUp だが、悪意のコード実行にいたる可能性のある脆弱性に対処するため、デスクトップ・アプリケーションに対して重要なアップデートをリリースした。この脆弱性 CVE-2024-23755 は、ClickUp Desktop アプリの macOS/Windows 版に影響を及ぼす。
脆弱性
この脆弱性 CVE-2024-23755 (CVSS:8.4) は、任意のコード実行にいたる可能性のある、深刻度の高い脅威である。この脆弱性は、ClickUp Desktop のバージョン3.3.76 以下に存在する。ClickUp のデスクトップ・アプリのベースとなる、Electron フレームワークの特定のコンフィグに問題があり、システム上で不正なアプリケーションを実行する攻撃者が、任意のコードを注入する可能性が生じる。この悪用に成功した攻撃者は、機密データを危険にさらす可能性がある。
影響
この脆弱性の影響は甚大である。脆弱性のあるシステムにローカルアクセス可能な攻撃者であれば、この欠陥を悪用できるという可能性が生じる:
- ClickUp や他のアプリケーションからの機密データの窃取。
- 追加のマルウェアのインストール。
- システムの制御。
緩和策とアップデート
幸いにも、ClickUp が迅速に対応したことで、この脆弱性に対処するアップデートがリリースされている。macOS/Windows 上の ClickUp Desktop のユーザーは、直ちにバージョン 3.3.77 以降へとアップデートしてほしい。このアップデートは、公式のClickUp Download Centre (https://clickup.com/download) からダウンロードできる。
重要な注意事項
- ローカルアクセス: この脆弱性の悪用の前提として、攻撃者はシステムにローカルアクセスできることが必要となる。つまり、インターネットを介した、リモート攻撃の可能性は低くなる。
- ユーザーの意識:この脆弱性を悪用するための入り口となる可能性があるため、未知のアプリケーションのダウンロードや実行の際には、注意が必要となる。
- アップデートの重要性:この種のインシデントが示唆するのは、ソフトウェアを定期的にアップデートし、最新のセキュリティ・パッチのインストールを確認することの重要性である。
全体像
ClickUp の脆弱性は、人気と定評を得ている生産性向上ツールであっても、セキュリティ上の欠陥とは無縁ではないことを思い起こさせる。クラウドベースやデスクトップにインストールされたソフトウェアに依存するかたちで、企業や個人が重要なタスクを処理する傾向が強まる中、脆弱性に対する情報を常に入手し、リスクを軽減するための対策を講じることは不可欠である。
ClickUp に RCE の脆弱性 CVE-2024-23755 (CVSS:8.4) が発生とのことです。ご利用のチームは、ご注意ください。Wikipedia で調べてみたら、「タスク/ホワイトボード/スプレッドシート/ドキュメント/コラボレーションなどの機能を、統合プラットフォーム上に備えたプロジェクト管理ソフトウェアであり、2017 年に Zeb Evans と Alex Yurkowski により設立された」と説明されていました。日本では、cozies から提供されているとのことです。
IoT OT Security News 
You must be logged in to post a comment.