セキュリティ アドバイザリ ID: NSKPSA-2023-001
深刻度: 高い
最初に伝えられた: 2023年5月10日
全体 CVSS スコア: 7.0
バージョン: 1.0
Description
NT\SYSTEM 特権で実行されている Netskope Client サービスは、localhost からのネットワーク接続を受け入れて、さまざまなサービスを開始し、コマンドを実行します。 このサービスの接続処理関数は、相対パスを使用して、コンピューター上の構成ファイルをダウンロードおよび解凍します。 この相対パスは、ローカルユーザーがより高い特権を持つユーザーのみがアクセスできる場所に任意のファイルを書き込む方法を提供しました。 これは、ローカルユーザーがエンドマシンでNT\SYSTEM権限でコードを実行するために悪用される可能性があります。
Affected Product(s) and Version(s)
Netskope Client for Windows v99 & Prior
CVE-ID(s)
CVE-2023-2270
Remediation
Netskopeは脆弱性にパッチを適用し、修正されたバイナリをリリースしました。 お客様は、 Netskope Client v100 以降にアップグレードすることをお勧めします。 Netskopeダウンロード手順– Netskope Client とスクリプトのダウンロード–Netskopeサポート
Workaround
Netskopeは、製品のセキュリティを強化する追加のセキュリティ機能を備えた Netskope Client の強化に関する文書化されたガイドを提供しています。 ガイドラインは次のとおりです https://docs.netskope.com/en/netskope-client-hardening.html
一般的なセキュリティのベスト プラクティス
Netskope製品に推奨されるセキュリティのベストプラクティスは次のとおりです。
Special Notes and Acknowledgement
Netskopeは、この欠陥を報告したHDWSecのJean-Jamil Khalifeの功績を認めています。
Exploitation and Public Disclosures
Netskopeは、公開時点でこの脆弱性が一般に公開および悪用されていることを認識していません。
Revision History
バージョン | 日付 | Section | Notes |
---|---|---|---|
1.0 | 2023年5月10日 | 初期リリース |
免責事項
適用法で認められる最大限の範囲で、この通知で提供される情報は、いかなる種類の保証もなく「現状有姿」で提供されます。 この通知の情報またはここにリンクされている資料の使用は、ご自身の責任で行ってください。 この通知および Netskope 製品セキュリティインシデント対応ポリシーのすべての側面は、予告なしに変更される場合があります。 特定の問題または問題のクラスに対する応答は保証されません。 Netskopeソフトウェアまたはサービスの脆弱性を含む、保証、サポート、およびメンテナンスに関するお客様の権利は、Netskopeとお客様の間の該当する基本契約によってのみ管理されます。 この通知の記述は、該当する基本契約に基づくお客様の権利を変更、拡大、またはその他の方法で修正するものではなく、追加の保証またはコミットメントを作成するものでもありません。
Netskopeについて
SASEのリーダーであるNetskopeは、ネットワークの内外を問わず、あらゆるデバイスからユーザーをインターネット、あらゆるアプリケーション、インフラストラクチャに安全かつ迅速に接続します。Netskope Security Cloudは、単一のプラットフォームにネイティブに構築された CASB、SWG、ZTNAを使用して、特許取得済みのテクノロジーを介して最も詳細なコンテキストを提供し、あらゆる場所でデータ保護と脅威防止全体にゼロトラスト原則を適用しながら、条件付きアクセスとユーザー認識を可能にします。 セキュリティとネットワーキングのトレードオフを強制する他の企業とは異なり、Netskopeのグローバルセキュリティプライベートクラウドは、エッジで完全なコンピューティング機能を提供します。
Netskopeは、あらゆる場所で高速、データ中心、クラウドスマートなソリューションで、優れたデジタル化を実現し、トータルコストの削減に貢献しています。