ID do comunicado de segurança: NSKPSA-2024-001
Classificação de gravidade: alta
Comunicado pela primeira vez: 18 de abril de 2024
Pontuação geral do CVSS: 8,5
Versão: 1,0
Description
Netskope foi notificado sobre uma falha de segurança no processo de registro do Netskope Client em que o NSClient está usando um token estático "Orgkey" como parâmetro de autenticação. Como esse token estático, se vazado, não pode ser girado ou revogado. Um agente mal-intencionado pode usar esse token para inscrever o NSClient do inquilino de um cliente e se passar por ele.
Affected Product(s) and Version(s)
A lacuna não está associada ao pacote NSClient. Consulte a documentação — https://docs.netskope.com/en/secure-enrollment/
CVE-ID(s)
CVE-2024-7401
Remediation
A Netskope corrigiu a falha e recomenda que os clientes revisem suas implantações do Netskope Client e habilitem a correção em seus locatários. Aqui está o guia detalhado — https://docs.netskope.com/en/secure-enrollment/
Workaround
Não há nenhuma contramedida disponível para remediar a lacuna sem ativar o registro seguro, mas siga as etapas abaixo para minimizar o risco:
General Security Best Practices
A Netskope recomenda que o senhor analise as diretrizes de segurança e as opções de proteção listadas na página https://support.netskope.com/s/article/Secure-Tenant-Configuration e usá-los para endurecer ainda mais os inquilinos.
Special Notes and Acknowledgement
A Netskope dá crédito a Sander di Wit por relatar essa falha.
Exploitation and Public Disclosures
A Netskope recebeu relatos isolados de abuso dessa exploração conhecida por caçadores de recompensas de bugs. A Netskope tem o prazer de ajudar os clientes a detectar qualquer abuso e ajudá-los a conter e remediar o incidente, se houver.
Revision History
Versão | Data | Section | Notes |
---|---|---|---|
1.0 | 18 de abril de 2024 | Inicial |
Contrato
Na medida máxima permitida pela lei aplicável, as informações fornecidas neste aviso são fornecidas “no estado em que se encontram”, sem qualquer tipo de garantia. O uso das informações contidas neste aviso ou dos materiais aqui vinculados é por sua conta e risco. Este aviso e todos os aspectos da Política de Resposta a Incidentes de Segurança de Produtos da Netskope estão sujeitos a alterações sem aviso prévio. A resposta não é garantida para nenhum problema específico ou classe de problemas. Seus direitos em relação a garantias, suporte e manutenção, incluindo vulnerabilidades em qualquer software ou serviço da Netskope, são regidos exclusivamente pelo contrato principal aplicável entre a Netskope e o senhor. As declarações contidas neste aviso não modificam, ampliam ou alteram nenhum dos seus direitos sob o contrato principal aplicável, nem criam garantias ou compromissos adicionais.
Sobre a Netskope
A Netskope, líder em SASE, conecta usuários com segurança e rapidez diretamente à Internet, a qualquer aplicativo e à sua infraestrutura, a partir de qualquer dispositivo, dentro ou fora da rede. Com CASB, SWG e ZTNA construídos nativamente em uma única plataforma, o Netskope Security Cloud fornece o contexto mais granular, por meio de tecnologia patenteada, para permitir acesso condicional e conscientização do usuário, ao mesmo tempo que aplica princípios de confiança zero na proteção de dados e prevenção de ameaças em todos os lugares. Ao contrário de outros que forçam compensações entre segurança e rede, a nuvem privada de segurança global da Netskope oferece recursos completos de computação na borda.
A Netskope é rápida em todos os lugares, centrada nos dados e muito bem preparada para a nuvem, proporcionando também uma boa cidadania digital e um menor custo total de propriedade.