Skontaktuj się z działem ds. bezpieczeństwa

Polityka Odpowiedzialnego ujawniania informacji Ivanti

Ivanti zobowiązuje się do utrzymywania bezpiecznych produktów i infrastruktury dla naszych klientów oraz dla dobra społeczności. Ivanti docenia i wspiera wysiłki społeczności zajmującej się bezpieczeństwem, która pomaga nam utrzymać to zobowiązanie, zgłaszając nam potencjalne problemy.

Nasza polityka prywatności ma zastosowanie do wszystkich produktów i sieci Ivanti, w tym produktów i sieci firm nabytych przez Ivanti. Niektóre produkty Ivanti są objęte programem Bug Bounty (jak wskazano poniżej).

Raportowanie

Wszelkie problemy dotyczące produktów lub rozwiązań Ivanti, w tym produktów firm nabytych przez Ivanti (takich jak Pulse Secure i MobileIron Products), prosimy zgłaszać za pośrednictwem naszego serwisu HackerOne.

https://hackerone.com/ivanti

W sprawach dotyczących infrastruktury Ivanti oraz wszystkich innych raportów nie związanych z produktami prosimy o kontakt poprzez nasz
e-mail dotyczący odpowiedzialnego ujawniania informacji.

[email protected]

Jeśli obawiasz się, że informacje, którymi chcesz się podzielić, są poufne, możesz to zrobić:

  • W tym celu użyj naszego klucza PGP (Fingerprint: 5A86 C77C A361 B145 8A2C D672 DBF5 C7A9 FE96 C03D). Jeśli chcesz zweryfikować nasz Fingerprint, skontaktuj się z nami.
  • Wyślij do nas wiadomość e-mail na powyższy adres i poproś o uruchomienie szyfrowania wiadomości e-mail w systemie O365.

Prosimy o dostarczenie wysokiej jakości raportu, w tym Proof-of-Concept. Jeśli przeprowadziłeś test
na systemie z dostępem do Internetu, prosimy o podanie adresu IP, z którego przeprowadzałeś test, abyśmy mogli
szybko zweryfikować Twoje działania.

Wyjątki

Następujące rodzaje ataków nie są uznawane za część naszego Programu odpowiedzialnego ujawniania informacji:

  • Ataki typu Denial of Service, w tym ataki wyczerpujące zasoby, eksploity powodujące odmowę świadczenia usług lub inne rodzaje „testów odporności” przeciwko Ivanti Corporate lub Ivanti Hosted Solutions, które mogą prowadzić do przerwania świadczenia usług.
  • Testy fizyczne biur Ivanti, centrów danych, obiektów kolokacyjnych itp.
  • Inżynieria społecznościowa naszych pracowników, klientów, partnerów itp.
  • Jakikolwiek atak lub zdarzenie skierowane przeciwko produktowi lub rozwiązaniu Ivanti, które jest hostowane przez klienta w jego własnej sieci, bez uprzedniej zgody na przeprowadzenie testów.

Oprócz powyższych następujące podatności i słabości nie są objęte programem:

  • Clickjacking na stronach bez wrażliwych operacji przetwarzania lub bez wpływu.
  • Cross-Site Request Forgery (CSRF) na nieuwierzytelnionych formularzach lub formularzach bez wrażliwych operacji.
  • Ataki wymagające MITM lub fizycznego dostępu do urządzenia użytkownika, aplikacji lub środowiska będą rozpatrywane indywidualnie dla każdego przypadku.
  • Znane wcześniej podatne biblioteki bez działającego Proof of Concept.
  • Wstrzyknięcie danych Comma Separated Values (CSV) bez wykazywania luki.
  • Brak najlepszych rozwiązań w konfiguracji SSL/TLS, w tym słabe szyfrowanie.
  • Kwestie spoofingu treści i wstrzykiwania tekstu bez ujawniania wektora ataku/bez możliwości modyfikowania HTML/CSS.
  • Problemy z ograniczaniem prędkości lub wymuszaniem pierwszeństwa na punktach końcowych niezwiązanych z uwierzytelnianiem.
  • Brak najlepszych rozwiązań w polityce bezpieczeństwa treści.
  • Brak znaczników HttpOnly lub Secure w plikach cookie.
  • Brak najlepszych rozwiązań w zakresie poczty elektronicznej, takich jak nieprawidłowe, niekompletne lub brakujące rekordy SPF/DKIM/DMARC.
  • Podatności dotyczące wyłącznie użytkowników niezaktualizowanych, przeglądarek lub systemów operacyjnych bez wdrożonych poprawek.
  • Ujawnienie wersji oprogramowania lub problemy z identyfikacją banera.
  • Wyłudzanie danych na podrobionych witrynach (Tabnabbing).
  • Open redirects - chyba że zostanie wykazany dodatkowy wpływ na kwestie bezpieczeństwa.
  • Publiczne luki zero-day, które mają oficjalną łatę od mniej niż 1 miesiąca, będą rozpatrywane indywidualnie.

Czego można się spodziewać po Ivanti

W odpowiedzi na Twój raport Ivanti podejmie następujące działania:

  • Odpowiemy Ci w ciągu dwóch dni roboczych, aby poinformować Cię, że otrzymaliśmy Twoje zgłoszenie.
  • Potwierdzimy, czy zgłoszenie stanowi problem w ciągu dwóch dni roboczych od daty jego otrzymania.
  • Dostarczymy Ci raport, jak i kiedy zgłoszony problem zostanie naprawiony.
  • Poinformujemy Cię, gdy problem zostanie naprawiony.
  • W stosownych przypadkach opublikujemy publiczne sprawozdanie. Zgłaszający, którzy zastosują się do zasad odpowiedzialnego ujawniania informacji, mogą zostać publicznie wyróżnieni.

Zgłaszającym nieznane wcześniej problemy wysyłamy w podziękowaniu Swag Ivanti!

Program nagradzania za ujawnianie problemów w Ivanti (Bug Bounty)

Firma Ivanti jest dumna z wprowadzenia programu HackerOne Bug Bounty dla:

Program Bug Bounty działa w ramach tej polityki odpowiedzialnego ujawniania informacji (włączając w to powyższe wyjątki), a nagrody są przyznawane w zależności od znaczenia luki i jakości raportu.

Inne zgłoszone problemy z bezpieczeństwem, które zostały zweryfikowane, zostaną nagrodzone Ivanti Swag. Prosimy nie wymagać innej formy wynagrodzenia.

Safe Harbor i przepisy prawne

Badacze, którzy w dobrej wierze starają się postępować zgodnie z niniejszymi zasadami ujawniania informacji, zostaną uznani za autoryzowanych testerów Ivanti. Ivanti podejmuje starania w równie dobrej wierze, aby współpracować z badaczami, którzy zgłaszają problemy w ramach tego programu. W przypadku wszczęcia postępowania sądowego przez stronę trzecią przeciwko Tobie w związku z działaniami prowadzonymi w ramach niniejszych zasad podejmiemy kroki w celu ujawnienia, że Twoje działania były prowadzone
zgodnie z niniejszymi zasadami.

Ivanti zastrzega sobie prawo do podjęcia kroków prawnych przeciwko osobom, które nie działają zgodnie z niniejszą polityką i łamią ToS, EULA lub lokalne prawa i przepisy. Ivanti nie uznaje innych polityk odpowiedzialnego ujawniania informacji, harmonogramów, programów lub schematów, które nie są objęte niniejszą polityką. Osoby, które zgłaszają potencjalne problemy w ramach wielu programów bez uprzedniego uzyskania zgody Ivanti, nie będą uznawane za działające zgodnie z niniejszą polityką.

Pytania

Jeśli masz jakiekolwiek problemy z powyższymi metodami lub pytania, możesz skontaktować się z zespołem Ivanti Information Security pod adresem [email protected].

Wersja 1.1 / 2020. Polityka Odpowiedzialnego Ujawniania Informacji jest również dostępna do pobrania.