Связаться с отделом безопасности

Политика ответственного раскрытия информации Ivanti

Ivanti берет на себя обязательство поддерживать безопасность продуктов и инфраструктуры в интересах клиентов и сообщества. Ivanti ценит и поддерживает усилия сообщества специалистов по безопасности, которые способствуют нашему обязательству, сообщая нам о потенциальных проблемах.

Наша Политика ответственного раскрытия информации распространяется на все продукты и сети Ivanti, включая продукты и сети компаний, приобретенных Ivanti. На некоторые продукты Ivanti распространяется программа вознаграждения за обнаружение уязвимости (как указано ниже).

Отчеты

Обо всех проблемах с продуктами и решениями Ivanti, включая продукты компаний, приобретенных Ivanti (например, Pulse Secure и MobileIron), просим сообщать нам через HackerOne.

https://hackerone.com/ivanti

По проблемам, связанным с инфраструктурой Ivanti, и для предоставления отчетов, не касающихся продуктов, обращайтесь
по адресу электронной почты для ответственного раскрытия информации.

[email protected]

Если вы хотите отправить конфиденциальную информацию, вы можете:

  • Воспользоваться нашим ключом PGP (Отпечаток: 5A86 C77C A361 B145 8A2C D672 DBF5 C7A9 FE96 C03D). Если вы хотите проверить отпечаток, напишите нам по электронной почте.
  • Отправить нам по указанному выше адресу запрос на зашифрованную электронную переписку с использованием Office 365.

Мы просим вас предоставить высококачественный отчет, включающий подтверждение концепции. Если вы проводили тестирование
на системе с выходом в интернет, просим вас указать IP-адрес, с которого вы проводили тестирование, чтобы мы могли
быстро проверить ваши действия.

Исключения из сферы рассмотрения

Следующие виды атак не входят в нашу Программу ответственного раскрытия информации:

  • Атаки на отказ в обслуживании, включая атаки на исчерпание ресурсов, эксплойты, вызывающие отказ в обслуживании, или другие виды «тестирования устойчивости» Ivanti Corporate или Ivanti Hosted Solutions, которые могут привести к нарушению работы сервисов.
  • Физическое тестирование офисов, центров обработки данных, объектов размещения серверов Ivanti и т. д.
  • Социальная инженерия наших сотрудников, клиентов, партнеров и т. д.
  • Атаки и действия против продукта или решения Ivanti, размещенного клиентом в его собственной сети без предварительного разрешения на проведение тестирования.

Помимо вышесказанного, следующие уязвимости и дефекты не входят в сферу рассмотрения:

  • Кликджекинг на страницах, не содержащих конфиденциальных действий или не оказывающих влияния.
  • Подделка межсайтовых запросов (CSRF) на неаутентифицированных формах или формах без конфиденциальных действий.
  • MITM-атаки или атаки, требующие физического доступа к пользовательскому устройству, приложению или среде, будут рассматриваться в индивидуальном порядке.
  • Уже известные уязвимые библиотеки без реального подтверждения концепции.
  • Ввод данных с разделителями-запятыми (CSV) без демонстрации уязвимости.
  • Отсутствие лучших методик в конфигурации SSL/TLS, включая слабые шифры.
  • Проблемы подмены содержимого и ввода текста без демонстрации вектора атаки/без возможности модификации HTML/CSS.
  • Проблемы с ограничением скорости или с подбором на конечных точках без аутентификации.
  • Отсутствие лучших методик в политике безопасности контента.
  • Отсутствие флагов HttpOnly или Secure на cookie-файлах.
  • Отсутствие лучших методик работы с электронной почтой, таких как неверные, неполные или отсутствующие записи SPF/DKIM/DMARC.
  • Уязвимости, затрагивающие только пользователей устаревших или неисправленных браузеров или операционных систем.
  • Проблемы с раскрытием версии программного обеспечения или идентификацией баннера.
  • Табнаб.
  • Открытые перенаправления, если только не может быть продемонстрировано дополнительное влияние на безопасность.
  • Публичные уязвимости нулевого дня, для которых официальное исправление существует менее месяца, будут рассматриваться в индивидуальном порядке.

Что ожидать от Ivanti?

Действия Ivanti в ответ на ваш отчет:

  • В течение двух рабочих дней мы подтвердим получение отчета.
  • В течение двух рабочих дней после получения отчета мы подтвердим действительно ли это проблема безопасности.
  • Предоставим вам отчет о том, как и когда мы исправим проблему.
  • Сообщим вам, когда она будет исправлена.
  • При необходимости выпустим публичный отчет. Составители отчетов, которые следуют политике ответственного раскрытия информации, могут быть публично отмечены.

Составителям отчетов, сообщившим о ранее неизвестных проблемах, в качестве благодарности мы отправим сувенир от Ivanti!

Программа вознаграждения за обнаружение уязвимости Ivanti

Ivanti гордится тем, что в ее программу вознаграждения за обнаружение уязвимости HackerOne входят:

  • Продукт Pulse Connect Secure
  • Продукт MobileIron Core
  • Ознакомьтесь с программой HackerOne для получения более подробной информации: https://hackerone.com/ivanti

Программа вознаграждения за обнаружение уязвимости действует в рамках этой политики ответственного раскрытия информации (включая вышеуказанные исключения), вознаграждение предоставляется в зависимости от серьезности уязвимости и качества отчета.

Другие отчеты о проблемах безопасности, которые были подтверждены, будут вознаграждены сувениром от Ivanti. Просим не обращаться за другими видами оплаты.

Правило безопасной гавани и юридические вопросы

Специалисты, которые добросовестно стремятся соблюдать опубликованную политику раскрытия информации, будут считаться авторизованными тестировщиками Ivanti. Ivanti также будет добросовестно стремиться к работе со специалистами, которые сообщают о проблемах в рамках этой программы. Если против вас будет подан судебный иск третьей стороной в связи с действиями, осуществляемыми в рамках данной политики, мы сообщим, что ваши действия были осуществлены
в соответствии с данной политикой.

Ivanti оставляет за собой право подавать судебные иски против лиц, которые не работают в рамках данной политики и нарушают пользовательское соглашение, лицензионное соглашение или местные законы и нормативы. Ivanti не признает политики ответственного раскрытия информации, сроки, программы и системы, которые не входят в данную политику. Лица, которые сообщают о потенциальных проблемах в рамках нескольких программ без предварительного получения разрешения от Ivanti, не будут считаться действующими в рамках данной политики.

Вопросы

Если у вас возникли проблемы с использованием вышеуказанных методов или появились вопросы, вы можете связаться с командой Ivanti по информационной безопасности по адресу [email protected].

Версия 1.1 / 2020. Политику ответственного раскрытия информации также можно скачать.