Společnost Ivanti se zavázala udržovat bezpečné produkty a infrastrukturu pro své zákazníky a ve prospěch komunity. Ivanti oceňuje a podporuje úsilí bezpečnostní komunity, která nám pomáhá udržet tento závazek tím, že nám hlásí potenciální problémy.
Naše zásady odpovědného zveřejňování se vztahují na všechny produkty a sítě Ivanti, včetně produktů a sítí společností, které společnost Ivanti získala. Na některé produkty Ivanti se vztahuje program odměn za nalezení a oznámení chyb Bug Bounty (jak je uvedeno níže).
Reporting
Veškeré problémy s produkty nebo řešeními Ivanti, včetně produktů společností, které společnost Ivanti získala (například Pulse Secure a MobileIron Products), oznamte prostřednictvím služby HackerOne.
V případě problémů s infrastrukturou Ivanti a všech ostatních zpráv, které se netýkají produktů, nás prosím kontaktujte prostřednictvím našeho webu.
E-mail pro odpovědné zveřejňování
Pokud máte obavy kvůli citlivosti informací, které chcete sdílet, můžete:
- Zde použijte náš klíč PGP (otisk prstu: 5A86 C77C A361 B145 8A2C D672 DBF5 C7A9 FE96 C03D). Pokud chcete ověřit otisk prstu, pošlete nám e-mail.
- Napište nám e-mail na výše uvedenou adresu a požádejte o spuštění šifrovaného e-mailového vlákna O365.
Žádáme vás, abyste nám poskytli vysoce kvalitní zprávu, která bude zahrnovat ověření konceptu (PoC). Pokud jste provedli test
proti systému, který je připojen k internetu, žádáme vás o uvedení IP adresy, ze které jste test provedli, abychom mohli
rychle ověřit vaše aktivity.
Výjimky z rozsahu
Následující typy útoků nejsou považovány za součást našeho programu odpovědného zveřejňování:
- Útoky typu odepření služby, včetně útoků k vyčerpání zdrojů, zneužití, která způsobují odepření služby, nebo jiné typy „testování odolnosti“ proti řešením Ivanti Corporate nebo Ivanti Hosted Solutions, které by mohly vést k narušení služeb.
- Fyzické testování kanceláří Ivanti, datových center, kolokačních zařízení atd.
- Sociální inženýrství našich zaměstnanců, zákazníků, partnerů atd.
- Jakýkoli útok nebo událost proti produktu nebo řešení Ivanti, které je hostováno zákazníkem v jeho vlastní síti, bez předchozího souhlasu s provedením testování.
Kromě výše uvedeného jsou mimo oblast působnosti následující zranitelnosti a slabiny:
- Clickjacking na stránkách bez citlivých akcí nebo bez dopadu.
- CSRF (Cross-Site Request Forgery) na neověřených formulářích nebo formulářích bez citlivých akcí.
- Útoky vyžadující MITM nebo fyzický přístup k uživatelskému zařízení, aplikaci nebo prostředí budou posuzovány případ od případu.
- Dříve známé zranitelné knihovny bez funkčního ověření konceptu (PoC).
- Vstřikování hodnot oddělených čárkou (CSV) bez projevů zranitelnosti.
- Chybějící osvědčené postupy při konfiguraci SSL/TLS, včetně slabých šifer.
- Problémy s falšováním obsahu a vkládáním textu bez zobrazení vektoru útoku/bez možnosti upravovat HTML/CSS.
- Omezení rychlosti nebo problémy s útoky hrubou silou (brute force) na koncových bodech bez ověřování.
- Chybějící osvědčené postupy v zásadách zabezpečení obsahu.
- Chybějící příznaky HttpOnly nebo Secure u souborů cookie.
- Chybějící osvědčené e-mailové postupy, například neplatné, neúplné nebo chybějící záznamy SPF/DKIM/DMARC.
- Zranitelnosti, které se týkají pouze uživatelů zastaralých nebo neopravených prohlížečů nebo operačních systémů.
- Problémy se zveřejněním verze softwaru nebo identifikací banneru.
- Tabnabbing.
- Otevřená přesměrování, pokud nelze prokázat další dopad na zabezpečení.
- Veřejné zranitelnosti nultého dne, které mají oficiální záplatu méně než 1 měsíc starou, budou posuzovány případ od případu.
Co očekávat od Ivanti
V reakci na vaši zprávu učiní Ivanti následující:
- Odpovíme do dvou pracovních dnů, že jsme vaši zprávu obdrželi.
- Do dvou pracovních dnů od potvrzení přijetí vaší zprávy potvrdíme, zda se jedná o problém.
- Poskytneme vám zprávu o tom, jak a kdy problém opravíme.
- Dáme vám vědět, že byl problém napraven.
- V případech, kde je to vhodné, vydáme veřejnou zprávu. Oznamovatelům, kteří dodržují zásady odpovědného zveřejňování, může být veřejně poděkováno.
Oznamovatelům, kteří nahlásí dosud neznámé problémy, posíláme jako poděkování dárek s logem Ivanti!
Program odměn za nalezení a oznámení chyb Ivanti
Společnost Ivanti hrdě spustila program odměn za nalezení a oznámení bugů HackerOne pro:
- produkt Pulse Connect Secure
- produkt MobileIron Core
- Více informací najdete na stránce věnované programu HackerOne: https://hackerone.com/ivanti
Program odměn za nalezení a oznámení chyb je součástí těchto zásad odpovědného zveřejňování (včetně výše uvedených výjimek) a odměny jsou poskytovány podle závažnosti zranitelnosti a kvality hlášení.
Ostatní nahlášené bezpečnostní problémy, které byly ověřeny, budou odměněny dárkem s logem Ivanti. Nežádejte prosím jinou platbu.
Bezpečný přístav a právní předpisy
Výzkumníci, kteří se v dobré víře snaží dodržovat tyto zveřejněné zásady zveřejňování, budou považováni za autorizované testery společnosti Ivanti. Společnost Ivanti se ve stejné míře snaží v dobré víře spolupracovat s výzkumnými pracovníky, kteří nahlásí problémy v rámci tohoto programu. Pokud proti vám třetí strana zahájí právní kroky v souvislosti s činnostmi prováděnými podle těchto zásad, podnikneme kroky k tomu, aby bylo známo, že vaše činnosti byly provedeny
v souladu s těmito zásadami.
Společnost Ivanti si vyhrazuje právo podniknout právní kroky proti osobám, které nepracují v souladu s těmito zásadami a porušují podmínky použití, EULA nebo zákony a předpisy platné v dané zemi. Společnost Ivanti neuznává jiné zásady, harmonogramy, programy nebo rámce odpovědného zveřejňování, na které se tyto zásady nevztahují. Osoby, které nahlásí potenciální problémy v rámci několika programů, aniž by nejprve obdržely povolení od společnosti Ivanti, nebudou považovány za osoby pracující podle těchto zásad.
Otázky
Pokud máte problémy s výše uvedenými metodami nebo máte dotazy, můžete se obrátit na tým informační bezpečnosti společnosti Ivanti na adrese [email protected].