広く使用されている生産性とプロジェクト管理プラットフォームの ClickUp は、ハードコードされたAPI キーが大規模企業と政府機関に関連する機密データを公開した後、深刻なセキュリティ上の懸念に直面しています。
@weezerOSINT として知られるセキュリティ研究者は、ClickUp が Split.io SDK トークンを本番環境の JavaScript バンドル内に直接埋め込んでいたことを発見しました。
このスクリプトはユーザーが ClickUp のコンテンツ配信ネットワークにアクセスするたびに自動的に読み込まれ、トークンを公開可能にしています。
攻撃者は認証や特別なアクセスを必要としません。ページソースを表示するだけで十分キーを抽出できます。
この公開されたトークンを使用して、研究者は Split.io API への単一のリクエストが約4.5MB のバックエンドデータを返すことができることを実証しました。
このデータセットには、3カ国の Fortune 500 企業と政府機関の従業員に属する959メールアドレスが含まれていました。
本番環境でのハードコードされたAPI キーの存在は、根本的なセキュリティ上の失敗を浮き彫りにしています。
このようなキーは容易に収集され悪用される可能性があるため、クライアント側のコードでは公開されるべきではありません。この場合、公開されたトークンは制限なく機密内部データへのアクセスを事実上付与しました。
この問題は1年以上未解決のままであったと報告されており、ClickUp の内部セキュリティ監視と対応プロセスに関する懸念が生じています。
データ漏洩に加えて、研究者は ClickUp のウェブフック機能内の重大なサーバー側リクエスト偽造(SSRF)脆弱性を特定しました。
この欠陥により、攻撃者はサーバーを操作して無認可内部リクエストを行わせることができます。
影響を実証するために、研究者は無料の ClickUp アカウントを作成し、AWS メタデータサービスをターゲットにするウェブフックを構成しました。
単純なアクションでウェブフックをトリガーすることで、システムは内部 AWS Identity and Access Management(IAM)認証情報を返しました。
このタイプの脆弱性は特に危険です。クラウド環境内での横方向移動を攻撃者に可能にするためです。最悪のシナリオでは、SSRF 欠陥は完全なインフラストラクチャの侵害につながる可能性があります。
責任ある開示にもかかわらず、ClickUp は脆弱性報告を2日以内にクローズし、2025年1月の以前の提出と重複としてマークしたと報告されています。
これは、同社が修正を実装することなく15ヶ月以上問題を認識していたことを示唆しています。
この事件は ClickUp のコンプライアンス主張についても疑問を提起しています。同社は SOC 2 Type 2、ISO 27001、ISO 27017、ISO 27018、ISO 42001、PCI DSS を含むいくつかの主要認証を一覧に挙げています。
しかし、ハードコードされたAPI キーと保護されていないSSRF エンドポイントの両方の存在は、セキュリティ検証と監査有効性のギャップを示しています。
この開示は、別のプラットフォームに関連する同様の最近の事件に続くものであり、機密データに影響する見落とされた脆弱性のより広いパターンを示唆しています。
翻訳元: https://cyberpress.org/clickup-hardcoded-api-key-exposes/
