セキュリティアドバイザリID: NSKPSA-2024-001
深刻度評価:高い
最初に伝えられたこと:2024年4月18日
CVSS総合スコア:8.5
バージョン: 1.0
Description
Netskope は、NSClient が認証パラメーターとして静的トークン "Orgkey" を使用している Netskope Client 登録プロセスのセキュリティ ギャップについて通知されました。 これは静的トークンであるため、漏洩した場合、回転または取り消すことはできません。 悪意のあるアクターは、このトークンを使用して、顧客のテナントから NSClient を登録し、偽装できます。
Affected Product(s) and Version(s)
ギャップは NSClient パッケージに関連付けられていません。 ドキュメントを参照してください– https://docs.netskope.com/en/secure-enrollment/
CVE-ID(s)
CVE-2024-7401
Remediation
Netskopeはギャップを修正し、Netskope Clientのデプロイメントを見直し、テナントで修正を有効にすることをお客様に推奨しています。 これが詳細なガイドです– https://docs.netskope.com/en/secure-enrollment/
Workaround
セキュア登録を有効にせずにギャップを修復するための対策はありませんが、リスクを最小限に抑えるために以下の手順に従ってください。
General Security Best Practices
Netskopeでは、https://support.netskope.com/s/article/Secure-Tenant-Configuration ページに記載されているセキュリティガイドラインと強化オプションを確認することをお勧めします そして、それらを使用してテナントをさらに強化します。
Special Notes and Acknowledgement
Netskopeは、この欠陥を報告したSander di Witを称賛しています。
Exploitation and Public Disclosures
Netskope は、バグバウンティハンターによるこの既知のエクスプロイトの悪用に関する個別の報告を受け取っています。 Netskopeは、お客様が不正使用を検出し、インシデントがある場合はそれを封じ込めて修復するのを喜んでお手伝いします。
Revision History
バージョン | 日付 | Section | Notes |
---|---|---|---|
1.0 | 2024年4月18日 | イニシャル |
免責事項
適用法で認められる最大限の範囲で、この通知で提供される情報は、いかなる種類の保証もなく「現状のまま」提供されます。 本通知に記載されている情報または本通知にリンクされている資料の使用は、お客様ご自身の責任で行ってください。 この通知およびNetskopeの製品セキュリティインシデント対応ポリシーのすべての側面は、予告なしに変更される場合があります。 特定の問題または問題のクラスに対する応答は保証されません。 Netskopeソフトウェアまたはサービスの脆弱性を含む、保証、サポート、およびメンテナンスに関するお客様の権利は、Netskopeとお客様の間の該当する基本契約によってのみ管理されます。 本通知の記載は、該当する基本契約に基づくお客様の権利を修正、拡大、またはその他の方法で修正するものではなく、また、追加の保証や確約を作成するものでもありません。
Netskopeについて
SASEのリーダーであるNetskopeは、ネットワークの内外を問わず、あらゆるデバイスからユーザーをインターネット、あらゆるアプリケーション、インフラストラクチャに安全かつ迅速に接続します。Netskope Security Cloudは、単一のプラットフォームにネイティブに構築された CASB、SWG、ZTNAを使用して、特許取得済みのテクノロジーを介して最も詳細なコンテキストを提供し、あらゆる場所でデータ保護と脅威防止全体にゼロトラスト原則を適用しながら、条件付きアクセスとユーザー認識を可能にします。 セキュリティとネットワーキングのトレードオフを強制する他の企業とは異なり、Netskopeのグローバルセキュリティプライベートクラウドは、エッジで完全なコンピューティング機能を提供します。
Netskopeは、あらゆる場所で高速、データ中心、クラウドスマートなソリューションで、優れたデジタル化を実現し、トータルコストの削減に貢献しています。