NSKPSA-2023-003

セキュリティアドバイザリ ID: NSKPSA-2023-003
重大度評価:中程度
最初に伝えられた:2023年10月4日
総合CVSSスコア:6.6
バージョン: 1.0

Description
Netskopeは、悪意のある管理者以外のユーザーが特別に細工されたパッケージを使用して Netskope Client を無効にすることができるNSClient製品のセキュリティ脆弱性を認識しました。問題の根本的な原因は、ユーザーコントロールコードが Windows ServiceController によって呼び出されたときに、ユーザーコントロールコードを実行する前にユーザーに関連付けられているアクセス許可を検証しなかったことです。このユーザーコントロールコードには、NSClient サービスを終了するアクセス許可がありました。

Affected Product(s) and Version(s)
製品 – Netskope Client
プラットフォーム – Windows
バージョン – R100 以前

CVE-ID(s)
CVE-2023-4996

Remediation
Netskopeはこの問題にパッチを適用し、新しいバージョンをリリースしました。この問題は Release101 で修正されています。お客様は、クライアントをR101以降のバージョンにアップグレードすることをお勧めします。 Netskopeのダウンロード手順 – Netskope Clientとスクリプトのダウンロード – Netskopeサポート

Workaround
この問題の回避策はありません。

General Security Best Practices
Netskope では、すべてのお客様に対して、環境をソフトウェアの最新バージョンに更新し、アプリケーションのプラットフォームで利用可能な安全な強化構成を有効にして構成することを推奨しています: https://support.netskope.com/s/article/Secure-Tenant-Configuration
特記事項と謝辞
Netskope は、この欠陥を報告してくれた Novartis の Alexander Katziv 氏に感謝します。

Exploitation and Public Disclosures
Netskopeは、アドバイザリが公開されるまで、この問題の公開エクスプロイトを認識していません。

Revision History

バージョン	日付	Section	Notes
1.0	2023年10月4日		最初の通知

免責事項
適用法で認められる最大限の範囲で、この通知で提供される情報は、いかなる種類の保証もなく「現状有姿」で提供されます。この通知の情報またはここにリンクされている資料の使用は、ご自身の責任で行ってください。この通知および Netskope 製品セキュリティインシデント対応ポリシーのすべての側面は、予告なしに変更される場合があります。特定の問題または問題のクラスに対する応答は保証されません。 Netskopeソフトウェアまたはサービスの脆弱性を含む、保証、サポート、およびメンテナンスに関するお客様の権利は、Netskopeとお客様の間の該当する基本契約によってのみ管理されます。この通知の記述は、該当する基本契約に基づくお客様の権利を変更、拡大、またはその他の方法で修正するものではなく、追加の保証またはコミットメントを作成するものでもありません。

Netskopeについて
SASEのリーダーであるNetskopeは、ネットワークの内外を問わず、あらゆるデバイスからユーザーをインターネット、あらゆるアプリケーション、インフラストラクチャに安全かつ迅速に接続します。Netskope Security Cloudは、単一のプラットフォームにネイティブに構築された CASB、SWG、ZTNAを使用して、特許取得済みのテクノロジーを介して最も詳細なコンテキストを提供し、あらゆる場所でデータ保護と脅威防止全体にゼロトラスト原則を適用しながら、条件付きアクセスとユーザー認識を可能にします。セキュリティとネットワーキングのトレードオフを強制する他の企業とは異なり、Netskopeのグローバルセキュリティプライベートクラウドは、エッジで完全なコンピューティング機能を提供します。

Netskopeは、あらゆる場所で高速、データ中心、クラウドスマートなソリューションで、優れたデジタル化を実現し、トータルコストの削減に貢献しています。