NSKPSA-2024-001

ID do comunicado de segurança: NSKPSA-2024-001
Classificação de gravidade: alta
Comunicado pela primeira vez: 18 de abril de 2024
Pontuação geral do CVSS: 8,5
Versão: 1,0

Description
Netskope foi notificado sobre uma falha de segurança no processo de registro do Netskope Client em que o NSClient está usando um token estático "Orgkey" como parâmetro de autenticação. Como esse token estático, se vazado, não pode ser girado ou revogado. Um agente mal-intencionado pode usar esse token para inscrever o NSClient do inquilino de um cliente e se passar por ele.

Affected Product(s) and Version(s)
A lacuna não está associada ao pacote NSClient. Consulte a documentação — https://docs.netskope.com/en/secure-enrollment/

CVE-ID(s)
CVE-2024-7401

Remediation
A Netskope corrigiu a falha e recomenda que os clientes revisem suas implantações do Netskope Client e habilitem a correção em seus locatários. Aqui está o guia detalhado — https://docs.netskope.com/en/secure-enrollment/

Workaround
Não há nenhuma contramedida disponível para remediar a lacuna sem ativar o registro seguro, mas siga as etapas abaixo para minimizar o risco:

Permita a conformidade e a classificação de dispositivos
Crie uma política para bloquear todo o tráfego dos dispositivos que não estão cumprindo as verificações de conformidade do dispositivo e que não estão na classificação adequada dos dispositivos.

General Security Best Practices
A Netskope recomenda que o senhor analise as diretrizes de segurança e as opções de proteção listadas na página https://support.netskope.com/s/article/Secure-Tenant-Configuration e usá-los para endurecer ainda mais os inquilinos.

Special Notes and Acknowledgement
A Netskope dá crédito a Sander di Wit por relatar essa falha.

Exploitation and Public Disclosures
A Netskope recebeu relatos isolados de abuso dessa exploração conhecida por caçadores de recompensas de bugs. A Netskope tem o prazer de ajudar os clientes a detectar qualquer abuso e ajudá-los a conter e remediar o incidente, se houver.

Revision History

Versão	Data	Section	Notes
1.0	18 de abril de 2024		Inicial

Contrato
Na medida máxima permitida pela lei aplicável, as informações fornecidas neste aviso são fornecidas “no estado em que se encontram”, sem qualquer tipo de garantia. O uso das informações contidas neste aviso ou dos materiais aqui vinculados é por sua conta e risco. Este aviso e todos os aspectos da Política de Resposta a Incidentes de Segurança de Produtos da Netskope estão sujeitos a alterações sem aviso prévio. A resposta não é garantida para nenhum problema específico ou classe de problemas. Seus direitos em relação a garantias, suporte e manutenção, incluindo vulnerabilidades em qualquer software ou serviço da Netskope, são regidos exclusivamente pelo contrato principal aplicável entre a Netskope e o senhor. As declarações contidas neste aviso não modificam, ampliam ou alteram nenhum dos seus direitos sob o contrato principal aplicável, nem criam garantias ou compromissos adicionais.

Sobre a Netskope
A Netskope, líder em SASE, conecta usuários com segurança e rapidez diretamente à Internet, a qualquer aplicativo e à sua infraestrutura, a partir de qualquer dispositivo, dentro ou fora da rede. Com CASB, SWG e ZTNA construídos nativamente em uma única plataforma, o Netskope Security Cloud fornece o contexto mais granular, por meio de tecnologia patenteada, para permitir acesso condicional e conscientização do usuário, ao mesmo tempo que aplica princípios de confiança zero na proteção de dados e prevenção de ameaças em todos os lugares. Ao contrário de outros que forçam compensações entre segurança e rede, a nuvem privada de segurança global da Netskope oferece recursos completos de computação na borda.

A Netskope é rápida em todos os lugares, centrada nos dados e muito bem preparada para a nuvem, proporcionando também uma boa cidadania digital e um menor custo total de propriedade.