Beleid inzake openbaarmaking van kwetsbaarheden
Ugreen Group Limited (hierna "Wij" of "Ugreen" genoemd), als fabrikant van NAS-producten, hecht groot belang aan de beveiliging van haar producten en bedrijfsvoering en erkent het belang van privacy en gegevensbeveiliging. Het aanpakken van elke beveiligingskwetsbaarheid en het verbeteren van de bedrijfsbeveiliging zijn onlosmakelijk verbonden met de gezamenlijke inspanningen van alle partijen. Als u een potentiële beveiligingskwetsbaarheid ontdekt of vermoedt te hebben ontdekt bij uw gebruik van NAS-diensten, verzoeken wij u uw ontdekking zo spoedig mogelijk aan ons te melden, conform dit beleid voor het melden van kwetsbaarheden. Wij garanderen dat wij toegewijd personeel hebben dat de door u gemelde problemen zal opvolgen, analyseren en afhandelen, en dat wij tijdig zullen reageren.
1. Feedback en verwerkingsproces met betrekking tot kwetsbaarheden
[Feedback over kwetsbaarheden]
Als u van mening bent dat NAS-producten kwetsbaarheden of beveiligingsincidenten bevatten die gemeld moeten worden, vult u dan het volgende formulier in. kwetsbaarheidsrapportformulier.
[Proces voor de behandeling van kwetsbaarheden]
Stap 1: De melder moet gedetailleerde informatie over de kwetsbaarheid verstrekken.
Stap 2: Ugreen controleert en verifieert de ontvangen kwetsbaarheidsinformatie en evalueert deze.
Stap 3: Verhelp de kwetsbaarheid en controleer of de reparatie van de NAS-producten is voltooid.
Stap 4: Breng een nieuwe versie van het NAS-product uit voor updates.
Stap 5: Stuur de verslaggever een antwoord met de verwerkingsresultaten.
Stap 6: Controleer de stabiliteit van het NAS-product na de update.
[Fase van kwetsbaarheidsanalyse]
1. Het rapport wordt binnen 1 werkdag na ontvangst bevestigd en er zal een eerste beoordeling worden uitgevoerd.
2. Binnen 3 werkdagen wordt de beoordeling afgerond en wordt de kwetsbaarheid verholpen of een herstelplan opgesteld.
[Bugfix] & Afrondingsfase]
1. Kritieke kwetsbaarheden worden binnen 3 werkdagen na voltooiing van de beoordeling verholpen.
2. Kwetsbaarheden met een hoog risico worden binnen 7 werkdagen na afronding van de beoordeling verholpen.
3. Kwetsbaarheden met een gemiddeld risico worden binnen 30 werkdagen na afronding van de beoordeling verholpen.
4. Kwetsbaarheden met een laag risico worden binnen 60 werkdagen na voltooiing van de beoordeling verholpen.
5. Sommige kwetsbaarheden zijn afhankelijk van omgevings- of hardwarebeperkingen, en de uiteindelijke reparatietijd zal afhangen van de feitelijke situatie.
Voor kwetsbaarheden met ernstige of aanzienlijke gevolgen wordt een apart noodbeveiligingsbulletin uitgegeven.
2. Normen voor de beoordeling van kwetsbaarheden
Afhankelijk van de mate van schade worden kwetsbaarheden in vier niveaus ingedeeld: ernstig, hoog risico, gemiddeld risico en laag risico. risk.When Wanneer we een kwetsbaarheidsrapport ontvangen, ondernemen we een reeks stappen om dit intern op te lossen, intern met verwijzing naar ISO/IEC 30111. Alle gerapporteerde kwetsbaarheden worden beoordeeld volgens de criteria van het Common Vulnerability Scoring System (CVSS) 3.1.
[Kritieke kwetsbaarheden]
1. Kwetsbaarheden die directe toegang op afstand tot systeemrechten (serverrechten, clientrechten, slimme apparaten) mogelijk maken, waaronder maar niet beperkt tot het uitvoeren van willekeurige code, het uitvoeren van willekeurige commando's, het uploaden en gebruiken van bestanden.
2. Het kernsysteem van het bedrijf vertoont logische ontwerpfouten, waaronder, maar niet beperkt tot, het ongestoord wijzigen van accountwachtwoorden zonder enige beveiligingsbeperking, het ongestoord inloggen op accounts, enzovoort.
3. Dit leidt direct tot ernstige kwetsbaarheden voor informatielekken in het online bedrijfssysteem, waaronder, maar niet beperkt tot, SQL-injectiekwetsbaarheden in de kerndatabase.
4. Mobiele terminal: Kwetsbaarheid voor het uitvoeren van code op afstand die direct een groot aantal gebruikers kan treffen zonder tussenkomst.
5. Apparaatzijde: Toegang op afstand tot uitvoeringsrechten voor apparaten (zoals het downloaden van gegevens van andere NAS-gebruikers, toegang op afstand tot apparaten, enz.) in de internetomgeving. Er bestaat geen kwetsbaarheid voor interactieve uitvoering van opdrachten op afstand in de internetomgeving.
【 Kwetsbaarheid met hoog risico 】
1. Kwetsbaarheden die direct leiden tot het lekken van gevoelige informatie op online servers, waaronder, maar niet beperkt tot, het lekken van de broncode van het kernsysteem, het downloaden van gevoelige logbestanden van de server, enz.
2. Het kernsysteem van het bedrijf kan de identiteit van anderen gebruiken om alle functies van het kernsysteem uit te voeren, wat een kwetsbaarheid vormt voor ongeautoriseerde handelingen met belangrijke of gevoelige systemen.
3. Ongeautoriseerde toegang tot het beheerplatform en gebruik van beheerdersfuncties, waaronder maar niet beperkt tot het inloggen op gevoelige beheerdersaccounts, de activiteit van het betreffende platform, het gebruikersbestand, het functionele belang en de gevoeligheid van gebruikersinformatie, worden beschouwd als criteria voor een hoge risicoclassificatie.
4. Kwetsbaarheid met hoog risico op informatielekken. Dit omvat, maar is niet beperkt tot, het lekken van gevoelige gegevens die direct kunnen worden misbruikt, en kwetsbaarheden die kunnen leiden tot het openbaar maken van grote hoeveelheden gebruikersidentiteitsgegevens.
5. SSRF-kwetsbaarheden met echo's die toegang kunnen krijgen tot het Ugreen-intranet.
6. Mobiele terminal: Applicaties van derden gebruiken mobiele clientfuncties in verschillende applicaties om risicovolle bewerkingen uit te voeren (zoals het lezen en schrijven van bestanden, sms-berichten en clientgegevens), wat kan leiden tot het lekken van gevoelige informatie.
7. Apparaat: verkrijgt toestemming voor het uitvoeren van opdrachten (zoals het downloaden van gegevens van andere NAS-gebruikers of het op afstand benaderen van apparaten) van de bron in de buurt of het LAN. Er bestaat geen kwetsbaarheid voor het uitvoeren van interactieve opdrachten op afstand in de bron in de buurt of het LAN.
8. Apparaat: Kwetsbaarheden die op afstand een permanente denial-of-service-aanval op apparaten veroorzaken, waaronder maar niet beperkt tot denial-of-service-aanvallen op systeemapparaten (apparaten kunnen niet langer worden gebruikt, raken volledig permanent beschadigd of het hele systeem moet opnieuw worden geprogrammeerd), waarbij fysiek contact met apparaten niet is toegestaan en aanvallen snel in batches moeten kunnen worden gerepliceerd.
【Kwetsbaarheid met gemiddeld risico】
1. Gewoon datalekken, waaronder maar niet beperkt tot het downloaden van wachtwoorden in platte tekst die op mobiele clients zijn opgeslagen, het downloaden van broncodecomprimeringspakketten die gevoelige informatie van servers of databases bevatten.
2. De logische ontwerpfouten die in het systeem aanwezig zijn, zoals mazen in de betalingsmechanismen.
3. Kwetsbaarheden veroorzaakt door gebreken in zwakke authenticatiemechanismen, waaronder maar niet beperkt tot het kraken van gevoelige captcha's via brute force-aanvallen, het ontbreken van een captcha in de inloginterface, enzovoort.
4. SSRF-kwetsbaarheid zonder echo.
5. Kwetsbaarheden die interactie vereisen om gebruikersidentiteitsgegevens te verkrijgen, waaronder maar niet beperkt tot CSRF voor gevoelige bewerkingen, XSS-aanvallen op opslag, JSONP-kaping voor gevoelige informatie, enz.
6. Een kwetsbaarheid voor een denial-of-service-aanval op afstand die bepaalde functionaliteit van een online applicatie kan uitschakelen (er moet worden aangetoond dat deze aanval andere gebruikers treft).
7. Een kwetsbaarheid die ervoor zorgt dat een slim apparaat de dienstverlening blokkeert. Bijvoorbeeld: een systeemapparaat wordt blootgesteld aan een lokaal geïnitieerde permanente denial-of-service-aanval (het apparaat kan niet meer worden gebruikt: volledig permanent beschadigd of het hele besturingssysteem moet opnieuw worden geschreven), een tijdelijke denial-of-service-aanval als gevolg van aanvallen op afstand (op afstand opschorten of herstarten), en de aanval moet snel in batches kunnen worden gerepliceerd.
8. Een kwetsbaarheid die het mogelijk maakt voor gewone bedrijfssystemen om de identiteit van anderen te gebruiken voor het uitvoeren van alle functionele handelingen waar zij geen bevoegdheid toe hebben.
【Laag risico kwetsbaarheid】
1. Kwetsbaarheden die kunnen worden misbruikt bij phishingaanvallen, waaronder, maar niet beperkt tot, kwetsbaarheden met betrekking tot URL-omleidingen.
2. Logica-ontwerpfouten met een laag risico.
3. Kleine kwetsbaarheden die informatie kunnen lekken, waaronder maar niet beperkt tot het lekken van paden, lekken van .git-bestanden en de inhoud van bedrijfslogboeken aan de serverzijde.
4. Kwetsbaarheden die kunnen worden misbruikt voor phishing of hacking, waaronder maar niet beperkt tot willekeurige URL-aanpassingen en reflectieve XSS-kwetsbaarheden.
5. Mobiele terminal: lokale denial of service (inclusief, maar niet beperkt tot, denial of service veroorzaakt door machtigingen van Android-componenten die niet van derden zijn), klein informatielek (dat alleen individuele gebruikers treft), enz.
6. Een kwetsbaarheid die ervoor zorgt dat een apparaat tijdelijk geen service meer kan leveren. Dit omvat, maar is niet beperkt tot, kwetsbaarheden die tijdelijke denial-of-service-aanvallen veroorzaken als gevolg van lokale aanvallen (apparaten moeten worden teruggezet naar de fabrieksinstellingen).
【Het probleem negeren】
1. Bugs die geen verband houden met beveiliging, waaronder maar niet beperkt tot het traag laden van webpagina's, een rommelige opmaak, enz.
2. Het ingediende rapport is te simplistisch en kan niet worden gereproduceerd op basis van de inhoud ervan, met inbegrip van, maar niet beperkt tot, de kwetsbaarheden die zelfs na herhaaldelijk overleg met de kwetsbaarheidsauditor niet kunnen worden gereproduceerd.
3. Niet-exploiteerbare of onschadelijke meldingen, waaronder maar niet beperkt tot nep-CSRF-aanvallen (zonder werkelijke impact op gebruikers), lokale denial-of-service-aanvallen die anderen niet kunnen beïnvloeden, Self-XSS, PDF XSS, lekken van niet-gevoelige informatie (intranet-IP-adres, domeinnaam), mailbom, enz.
4. Geen praktisch uitlekken van broncode.
5.Het beveiligingsprobleem zit in de niet-Ugreen-module van het hardwareproduct, of het is een defect in de hardware zelf.
6. Beveiligingsproblemen die Ugreen proactief openbaar maakt of die extern zijn bekendgemaakt.
7. Beveiligingsproblemen met producten, apps of webapplicaties die niet langer worden onderhouden.
8. Kwetsbaarheden die Ugreen zelf intern kan valideren, zijn bekend en verholpen.
9. Denial of service veroorzaakt door machtigingen van drie Android-componenten.
Alle informatie die u aan Ugreen verstrekt over kwetsbaarheden in NAS-producten, inclusief alle informatie in productkwetsbaarheidsrapporten. Informatie die u overdraagt, zal eigendom zijn van en gebruikt worden door Ugreen.
Ugreen behoudt zich het recht voor om dit beleid te allen tijde te wijzigen.