Obraťte se na Bezpečnost

Zásady odpovědného zveřejňování společnosti Ivanti

Společnost Ivanti se zavázala udržovat bezpečné produkty a infrastrukturu pro své zákazníky a ve prospěch komunity. Ivanti oceňuje a podporuje úsilí bezpečnostní komunity, která nám pomáhá udržet tento závazek tím, že nám hlásí potenciální problémy.

Naše zásady odpovědného zveřejňování se vztahují na všechny produkty a sítě Ivanti, včetně produktů a sítí společností, které společnost Ivanti získala. Na některé produkty Ivanti se vztahuje program odměn za nalezení a oznámení chyb Bug Bounty (jak je uvedeno níže).

Reporting

Veškeré problémy s produkty nebo řešeními Ivanti, včetně produktů společností, které společnost Ivanti získala (například Pulse Secure a MobileIron Products), oznamte prostřednictvím služby HackerOne.

https://hackerone.com/ivanti

V případě problémů s infrastrukturou Ivanti a všech ostatních zpráv, které se netýkají produktů, nás prosím kontaktujte prostřednictvím našeho webu.
E-mail pro odpovědné zveřejňování

[email protected]

Pokud máte obavy kvůli citlivosti informací, které chcete sdílet, můžete:

  • Zde použijte náš klíč PGP (otisk prstu: 5A86 C77C A361 B145 8A2C D672 DBF5 C7A9 FE96 C03D). Pokud chcete ověřit otisk prstu, pošlete nám e-mail.
  • Napište nám e-mail na výše uvedenou adresu a požádejte o spuštění šifrovaného e-mailového vlákna O365.

Žádáme vás, abyste nám poskytli vysoce kvalitní zprávu, která bude zahrnovat ověření konceptu (PoC). Pokud jste provedli test
proti systému, který je připojen k internetu, žádáme vás o uvedení IP adresy, ze které jste test provedli, abychom mohli
rychle ověřit vaše aktivity.

Výjimky z rozsahu

Následující typy útoků nejsou považovány za součást našeho programu odpovědného zveřejňování:

  • Útoky typu odepření služby, včetně útoků k vyčerpání zdrojů, zneužití, která způsobují odepření služby, nebo jiné typy „testování odolnosti“ proti řešením Ivanti Corporate nebo Ivanti Hosted Solutions, které by mohly vést k narušení služeb.
  • Fyzické testování kanceláří Ivanti, datových center, kolokačních zařízení atd.
  • Sociální inženýrství našich zaměstnanců, zákazníků, partnerů atd.
  • Jakýkoli útok nebo událost proti produktu nebo řešení Ivanti, které je hostováno zákazníkem v jeho vlastní síti, bez předchozího souhlasu s provedením testování.

Kromě výše uvedeného jsou mimo oblast působnosti následující zranitelnosti a slabiny:

  • Clickjacking na stránkách bez citlivých akcí nebo bez dopadu.
  • CSRF (Cross-Site Request Forgery) na neověřených formulářích nebo formulářích bez citlivých akcí.
  • Útoky vyžadující MITM nebo fyzický přístup k uživatelskému zařízení, aplikaci nebo prostředí budou posuzovány případ od případu.
  • Dříve známé zranitelné knihovny bez funkčního ověření konceptu (PoC).
  • Vstřikování hodnot oddělených čárkou (CSV) bez projevů zranitelnosti.
  • Chybějící osvědčené postupy při konfiguraci SSL/TLS, včetně slabých šifer.
  • Problémy s falšováním obsahu a vkládáním textu bez zobrazení vektoru útoku/bez možnosti upravovat HTML/CSS.
  • Omezení rychlosti nebo problémy s útoky hrubou silou (brute force) na koncových bodech bez ověřování.
  • Chybějící osvědčené postupy v zásadách zabezpečení obsahu.
  • Chybějící příznaky HttpOnly nebo Secure u souborů cookie.
  • Chybějící osvědčené e-mailové postupy, například neplatné, neúplné nebo chybějící záznamy SPF/DKIM/DMARC.
  • Zranitelnosti, které se týkají pouze uživatelů zastaralých nebo neopravených prohlížečů nebo operačních systémů.
  • Problémy se zveřejněním verze softwaru nebo identifikací banneru.
  • Tabnabbing.
  • Otevřená přesměrování, pokud nelze prokázat další dopad na zabezpečení.
  • Veřejné zranitelnosti nultého dne, které mají oficiální záplatu méně než 1 měsíc starou, budou posuzovány případ od případu.

Co očekávat od Ivanti

V reakci na vaši zprávu učiní Ivanti následující:

  • Odpovíme do dvou pracovních dnů, že jsme vaši zprávu obdrželi.
  • Do dvou pracovních dnů od potvrzení přijetí vaší zprávy potvrdíme, zda se jedná o problém.
  • Poskytneme vám zprávu o tom, jak a kdy problém opravíme.
  • Dáme vám vědět, že byl problém napraven.
  • V případech, kde je to vhodné, vydáme veřejnou zprávu. Oznamovatelům, kteří dodržují zásady odpovědného zveřejňování, může být veřejně poděkováno.

Oznamovatelům, kteří nahlásí dosud neznámé problémy, posíláme jako poděkování dárek s logem Ivanti!

Program odměn za nalezení a oznámení chyb Ivanti

Společnost Ivanti hrdě spustila program odměn za nalezení a oznámení bugů HackerOne pro:

  • produkt Pulse Connect Secure
  • produkt MobileIron Core
  • Více informací najdete na stránce věnované programu HackerOne: https://hackerone.com/ivanti

Program odměn za nalezení a oznámení chyb je součástí těchto zásad odpovědného zveřejňování (včetně výše uvedených výjimek) a odměny jsou poskytovány podle závažnosti zranitelnosti a kvality hlášení.

Ostatní nahlášené bezpečnostní problémy, které byly ověřeny, budou odměněny dárkem s logem Ivanti. Nežádejte prosím jinou platbu.

Bezpečný přístav a právní předpisy

Výzkumníci, kteří se v dobré víře snaží dodržovat tyto zveřejněné zásady zveřejňování, budou považováni za autorizované testery společnosti Ivanti. Společnost Ivanti se ve stejné míře snaží v dobré víře spolupracovat s výzkumnými pracovníky, kteří nahlásí problémy v rámci tohoto programu. Pokud proti vám třetí strana zahájí právní kroky v souvislosti s činnostmi prováděnými podle těchto zásad, podnikneme kroky k tomu, aby bylo známo, že vaše činnosti byly provedeny
v souladu s těmito zásadami.

Společnost Ivanti si vyhrazuje právo podniknout právní kroky proti osobám, které nepracují v souladu s těmito zásadami a porušují podmínky použití, EULA nebo zákony a předpisy platné v dané zemi. Společnost Ivanti neuznává jiné zásady, harmonogramy, programy nebo rámce odpovědného zveřejňování, na které se tyto zásady nevztahují. Osoby, které nahlásí potenciální problémy v rámci několika programů, aniž by nejprve obdržely povolení od společnosti Ivanti, nebudou považovány za osoby pracující podle těchto zásad.

Otázky

Pokud máte problémy s výše uvedenými metodami nebo máte dotazy, můžete se obrátit na tým informační bezpečnosti společnosti Ivanti na adrese [email protected].

Verze 1.1 / 2020. Zásady odpovědného zveřejňování jsou k d ispozici také ke stažení.