Política de divulgação de vulnerabilidades
A Ugreen Group Limited (doravante denominada "Nós" ou "Ugreen"), como fabricante de produtos NAS, atribui grande importância à segurança de seus produtos e negócios, e reconhece a importância da privacidade e da segurança de dados. O tratamento de cada vulnerabilidade de segurança e a melhoria da segurança dos negócios dependem da cooperação conjunta de todas as partes. Se você descobrir ou acreditar ter descoberto uma potencial vulnerabilidade de segurança ao usar os Serviços NAS, incentivamos você a nos informar o mais breve possível, de acordo com esta Política de Divulgação de Vulnerabilidades. Garantimos que temos uma equipe dedicada para acompanhar, analisar e lidar com os problemas relatados por cada pessoa, e responderemos em tempo hábil.
1. Processo de feedback e processamento de vulnerabilidades
[Feedback sobre vulnerabilidades]
Se você acredita que os produtos NAS apresentam vulnerabilidades ou incidentes de segurança que precisam ser relatados, preencha o formulário a seguir. formulário de relatório de vulnerabilidade.
[Processo de Tratamento de Vulnerabilidades]
Passo 1: O denunciante precisa fornecer informações detalhadas sobre a vulnerabilidade.
Etapa 2: A Ugreen verifica e valida as informações de vulnerabilidade recebidas e as avalia.
Etapa 3: Corrija a vulnerabilidade e verifique o reparo dos produtos NAS.
Etapa 4: Lance uma nova versão do produto NAS para atualizações.
Etapa 5: Responda ao solicitante com os resultados do processamento.
Etapa 6: Monitore a estabilidade do produto NAS após a atualização.
[Fase de Revisão de Vulnerabilidades]
1. O relatório será confirmado em até 1 dia útil após o recebimento e uma avaliação inicial será realizada.
2. Em até 3 dias úteis, a avaliação será concluída e a vulnerabilidade será corrigida ou um plano de remediação será desenvolvido.
[Correção de bug] & Fase de conclusão]
1. As vulnerabilidades críticas serão corrigidas em até 3 dias úteis após a conclusão da avaliação.
2. As vulnerabilidades de alto risco serão corrigidas em até 7 dias úteis após a conclusão da avaliação.
3. As vulnerabilidades de risco médio serão corrigidas em até 30 dias úteis após a conclusão da avaliação.
4. As vulnerabilidades de baixo risco serão corrigidas em até 60 dias úteis após a conclusão da avaliação.
5. Algumas vulnerabilidades estão sujeitas a limitações ambientais ou de hardware, e o tempo final de reparo dependerá da situação real.
Um boletim de segurança de emergência separado é emitido para vulnerabilidades de impacto grave ou significativo.
2. Padrões de classificação de vulnerabilidade
De acordo com o grau de dano das vulnerabilidades, elas são divididas em quatro níveis: grave, alto risco, risco médio e baixo risco. risk.When Ao recebermos um relatório de vulnerabilidade, tomamos uma série de medidas para resolvê-lo internamente, em conformidade com a norma ISO/IEC 30111. Todas as vulnerabilidades relatadas são pontuadas de acordo com os critérios do Sistema Comum de Pontuação de Vulnerabilidades (CVSS) 3.1.
[Vulnerabilidades Críticas]
1. Vulnerabilidades de acesso remoto direto às permissões do sistema (permissões do servidor, permissões do cliente, dispositivos inteligentes), incluindo, entre outras, execução de código arbitrário, execução de comandos arbitrários, upload e utilização.
2. O sistema principal de negócios apresenta falhas de projeto lógico, incluindo, entre outras, a possibilidade de modificação de senhas de contas sem quaisquer restrições de proteção, login em qualquer conta, etc.
3. Isso leva diretamente a sérias vulnerabilidades de vazamento de informações no sistema de negócios online, incluindo, mas não se limitando a, vulnerabilidades de injeção de SQL no banco de dados principal.
4. Terminal móvel: Vulnerabilidade de execução remota de código que pode afetar diretamente um grande número de usuários sem interação.
5. Lado do dispositivo: O acesso remoto às permissões de execução do dispositivo (como baixar dados de outros usuários do NAS, acessar dispositivos remotamente, etc.) no ambiente da Internet não apresenta vulnerabilidade de execução remota interativa de comandos.
【 Vulnerabilidade de alto risco 】
1. Vulnerabilidades que levam diretamente ao vazamento de informações sensíveis em servidores online, incluindo, entre outras, vazamento do código-fonte do sistema principal, download de arquivos de log confidenciais do servidor, etc.
2. O sistema central de negócios pode usar a identidade de terceiros para executar todas as funções, uma vulnerabilidade que configura uma operação não autorizada importante ou sensível do sistema central de negócios.
3. O acesso não autorizado à plataforma de gestão e a utilização de funções de administrador, incluindo, entre outros, o login em contas de administrador com informações confidenciais, a atividade na plataforma em questão, a base de utilizadores, a importância funcional e a sensibilidade das informações do utilizador, serão considerados critérios de classificação de vulnerabilidade de alto risco.
4. Vulnerabilidade de alto risco para vazamento de informações. Incluindo, mas não se limitando a, vazamento de dados sensíveis que podem ser explorados diretamente, vulnerabilidades de vazamento que podem levar à divulgação de uma grande quantidade de informações de identidade do usuário.
5. Vulnerabilidades SSRF com ecos que podem acessar a intranet da Ugreen.
6. Terminal móvel: Aplicativos de terceiros utilizam funções de cliente móvel em diversos aplicativos para realizar operações de alto risco (como leitura e gravação de arquivos, leitura e gravação de SMS e leitura e gravação de dados do cliente), podendo causar vazamento de informações sensíveis de alto risco.
7. Dispositivo: obtém permissão de execução de dispositivo (como baixar dados de outros usuários do NAS ou acessar dispositivos remotamente) da fonte próxima ou da LAN. Não há vulnerabilidade de execução remota de comandos interativos na fonte próxima ou na LAN.
8. Dispositivo: Vulnerabilidades que causam negação de serviço permanente remota em dispositivos, incluindo, entre outras, ataques de negação de serviço remotos em dispositivos do sistema (dispositivos que não podem mais ser usados, danificados permanentemente ou que exigem a reescrita de todo o sistema), e ataques que não permitem contato físico com os dispositivos e precisam ser replicados rapidamente em lotes.
【Vulnerabilidade de risco médio】
1. Vazamento comum de informações, incluindo, entre outros, senhas armazenadas em texto simples de clientes móveis, downloads de pacotes de compressão de código-fonte contendo informações confidenciais de servidores ou bancos de dados.
2. Os defeitos de projeto lógico existentes no sistema, como brechas no sistema de pagamento.
3. Vulnerabilidades causadas por defeitos em mecanismos de autenticação fracos, incluindo, mas não se limitando a, captcha de função sensível que pode ser quebrado por força bruta, ausência de captcha na interface de login, etc.
4. Vulnerabilidade SSRF sem eco.
5. Vulnerabilidades que exigem interação para obter informações de identidade do usuário, incluindo, entre outras, CSRF para operações sensíveis, XSS de armazenamento, sequestro de JSONP para informações sensíveis, etc.
6. Vulnerabilidade de negação de serviço remota que pode desativar algumas funcionalidades de um aplicativo online (é necessário demonstrar que afeta outros usuários).
7. Uma vulnerabilidade que faz com que um dispositivo inteligente negue serviço. Por exemplo, um dispositivo do sistema é submetido a um ataque de negação de serviço permanente iniciado localmente (o dispositivo não pode mais ser usado: completamente danificado de forma permanente ou todo o sistema operacional precisa ser reescrito), uma vulnerabilidade de ataque de negação de serviço temporário causada por ataques remotos (suspensão ou reinicialização remota) e o ataque precisa ser capaz de se replicar rapidamente em lotes.
8. Uma vulnerabilidade que permite que sistemas empresariais comuns usem as identidades de outras pessoas para executar todas as operações funcionais além de sua autoridade.
【Vulnerabilidade de baixo risco】
1. Vulnerabilidades que podem ser exploradas em ataques de phishing, incluindo, mas não se limitando a, vulnerabilidades de redirecionamento de URL.
2. Falhas de projeto lógico de baixo risco.
3. Vulnerabilidades menores de vazamento de informações, incluindo, entre outras, vazamentos de caminhos, vazamentos de arquivos .git e conteúdo de logs de negócios do lado do servidor.
4. Vulnerabilidades que podem ser exploradas para phishing ou hacking, incluindo, entre outras, ajustes arbitrários de URLs e vulnerabilidades XSS reflexivas.
5. Terminal móvel: negação de serviço local (incluindo, entre outros, negação de serviço causada por permissões de componentes Android não pertencentes a terceiros), pequeno vazamento de informações (afetando apenas usuários individuais), etc.
6. Uma vulnerabilidade que faz com que um dispositivo negue serviço temporariamente. Isso inclui, mas não se limita a, vulnerabilidades de ataque de negação de serviço temporário causadas por ataques locais (os dispositivos precisam ser restaurados às configurações de fábrica).
【Ignorando o problema】
1. Problemas de segurança não relacionados a bugs, incluindo, entre outros, lentidão na abertura de páginas da web, estilo confuso, etc.
2. O relatório apresentado é muito simplista e não pode ser reproduzido de acordo com o seu conteúdo, incluindo, mas não se limitando às vulnerabilidades que não puderam ser reproduzidas mesmo após repetidas comunicações com o auditor de vulnerabilidades.
3. Relatórios não exploráveis ou inofensivos, incluindo, entre outros, falsos ataques CSRF (sem impacto real nos usuários), ataques de negação de serviço locais que não afetam outros, XSS auto-explorável, XSS em PDF, vazamento de informações não sensíveis (IP da intranet, nome de domínio), bombardeio de e-mail, etc.
4. Sem vazamento prático de código-fonte.
5.O problema de segurança está no módulo não-Ugreen do produto de hardware, ou é um defeito do próprio hardware.
6. Problemas de segurança que a Ugreen divulga proativamente ou que foram divulgados externamente.
7. Problemas de segurança em produtos, aplicativos ou aplicações web que não recebem mais manutenção.
8. Vulnerabilidades que a Ugreen consegue validar internamente, que são conhecidas e já foram corrigidas.
9. Negação de serviço causada por permissões de três componentes do Android.
Qualquer informação fornecida à Ugreen sobre vulnerabilidades em produtos NAS, incluindo todas as informações em relatórios de vulnerabilidade de produtos, será de propriedade e utilizada pela Ugreen.
A Ugreen reserva-se o direito de modificar esta política a qualquer momento.