Politica de divulgare a vulnerabilităților

Ugreen Group Limited (denumită în continuare „Noi” sau „Ugreen”), în calitate de producător de produse NAS, acordă o importanță deosebită securității propriilor produse și afaceri și recunoaște importanța confidențialității și securității datelor. Gestionarea fiecărei vulnerabilități de securitate și îmbunătățirea securității afacerii nu pot fi separate de cooperarea comună a tuturor părților. Dacă descoperiți sau credeți că ați descoperit o potențială vulnerabilitate de securitate în utilizarea Serviciilor NAS, vă încurajăm să ne dezvăluiți descoperirea cât mai curând posibil, în conformitate cu această Politică de Dezvăluire a Vulnerabilităților. Vă promitem că avem personal dedicat pentru a urmări, analiza și trata problemele raportate de fiecare raportor și vom răspunde la timp.

1. Feedback privind vulnerabilitățile și procesul de procesare

[Feedback privind vulnerabilitățile]

Dacă considerați că produsele NAS au vulnerabilități sau incidente de securitate care trebuie raportate, vă rugăm să completați următoarele formular de raportare a vulnerabilității.

[Procesul de tratare a vulnerabilităților]

Pasul 1: Raportorul trebuie să ofere informații detaliate despre vulnerabilitate.

Pasul 2: Ugreen verifică și verifică informațiile despre vulnerabilități primite și le evaluează.

Pasul 3: Remediați vulnerabilitatea și verificați repararea produselor NAS.

Pasul 4: Lansați o nouă versiune a produsului NAS pentru actualizări.

Pasul 5: Răspundeți raportorului cu rezultatele procesării.

Pasul 6: Monitorizați stabilitatea produsului NAS după actualizare.

[Faza de analiză a vulnerabilităților]

1. Raportul va fi confirmat în termen de 1 zi lucrătoare de la primire și va fi efectuată o evaluare inițială.

2. În termen de 3 zile lucrătoare, evaluarea va fi finalizată și vulnerabilitatea va fi remediată sau va fi elaborat un plan de remediere.

[Corectare eroare] & Faza de finalizare]

1. Vulnerabilitățile critice vor fi remediate în termen de 3 zile lucrătoare de la finalizarea evaluării.

2. Vulnerabilitățile cu risc ridicat vor fi remediate în termen de 7 zile lucrătoare de la finalizarea evaluării.

3. Vulnerabilitățile cu risc mediu vor fi remediate în termen de 30 de zile lucrătoare de la finalizarea evaluării.

4. Vulnerabilitățile cu risc scăzut vor fi remediate în termen de 60 de zile lucrătoare de la finalizarea evaluării.

5. Unele vulnerabilități sunt supuse limitărilor de mediu sau hardware, iar timpul final de reparare va depinde de situația reală.

Un buletin de securitate de urgență separat este emis pentru vulnerabilități cu impact sever sau semnificativ.

2. Standarde de evaluare a vulnerabilităților

În funcție de gradul de afectare a vulnerabilităților, acestea se împart în patru niveluri: grav, risc ridicat, risc mediu și risc scăzut. risk.When Când primim un raport de vulnerabilitate, luăm o serie de pași pentru a-l rezolva intern, cu referire la ISO/IEC 30111. Toate vulnerabilitățile raportate sunt evaluate conform criteriilor Sistemului Comun de Scorare a Vulnerabilităților CVSS 3.1.

[Vulnerabilități critice]

1. Vulnerabilități legate de accesul direct de la distanță la permisiunile de sistem (permisiuni server, permisiuni client, dispozitive inteligente), inclusiv, dar fără a se limita la, executarea arbitrară de cod, executarea arbitrară de comenzi, încărcarea și utilizarea.

2. Sistemul principal de afaceri are defecte de proiectare logică, inclusiv, dar fără a se limita la, orice modificare a parolei contului fără restricții de protecție, orice conectare la cont etc.

3. Duce direct la vulnerabilități grave de scurgere de informații în sistemul de afaceri online, inclusiv, dar fără a se limita la, vulnerabilități de tip SQL injection în baza de date principală.

4. Terminal mobil: Vulnerabilitate de execuție a codului la distanță care poate afecta direct un număr mare de utilizatori fără interacțiune.

5. Partea dispozitivului: Accesul de la distanță la permisiunile de execuție a dispozitivului (cum ar fi descărcarea altor date de utilizator NAS, accesul de la distanță la dispozitive etc.) în mediul Internet, nu există nicio vulnerabilitate la execuția interactivă a comenzilor de la distanță în mediul Internet.

Vulnerabilitate la risc ridicat

1. Vulnerabilități care duc direct la scurgerea de informații sensibile pe serverele online, inclusiv, dar fără a se limita la, scurgerea codului sursă al sistemului principal, descărcarea fișierelor jurnal sensibile de pe server etc.

2. Sistemul de bază al afacerii poate folosi identitatea altor persoane pentru a îndeplini toate funcțiile vulnerabilității, vulnerabilitatea operațiunilor neautorizate importante sau sensibile ale sistemului de bază al afacerii.

3. Accesul neautorizat la platforma de administrare și utilizarea funcțiilor de administrator, inclusiv, dar fără a se limita la, datele sensibile de conectare în fundal la contul de administrator, activitatea platformei relevante, baza de utilizatori, importanța funcțională și sensibilitatea informațiilor utilizatorilor, vor fi considerate criterii de evaluare a vulnerabilității cu risc ridicat.

4. Vulnerabilitate de scurgere de informații cu risc ridicat. Include, dar fără a se limita la, scurgeri de date sensibile care pot fi exploatate direct, vulnerabilități de scurgere care pot duce la o cantitate mare de informații despre identitatea utilizatorului.

5. Vulnerabilități SSRF cu ecouri care pot accesa intranetul Ugreen.

6. Terminal mobil: Aplicațiile terțe utilizează funcții client mobile în aplicații pentru a efectua operațiuni cu risc ridicat (cum ar fi citirea și scrierea fișierelor, citirea și scrierea SMS-urilor și citirea și scrierea datelor clientului) și scurgeri de informații sensibile cu risc ridicat.

7. Dispozitiv: obține permisiunea de execuție a dispozitivului (cum ar fi descărcarea altor date de utilizator NAS sau accesarea de la distanță a dispozitivelor) de la sursa apropiată sau LAN. Nu există nicio vulnerabilitate de execuție interactivă a comenzilor de la distanță în sursa apropiată sau LAN.

8. Dispozitiv: Vulnerabilități care cauzează de la distanță denial of service permanent pe dispozitive, inclusiv, dar fără a se limita la, atacuri de denial of service la distanță asupra dispozitivelor de sistem (dispozitivele nu mai pot fi utilizate, sunt deteriorate complet permanent sau întregul sistem trebuie rescris), iar atacurile nu permit contactul fizic cu dispozitivele, iar atacurile trebuie reproduse rapid în loturi.

Vulnerabilitate la risc mediu

1. Scurgeri obișnuite de informații, inclusiv, dar fără a se limita la, parola de stocare în text simplu a clientului mobil, care conține informații sensibile despre server sau bază de date, descărcarea pachetului de compresie a codului sursă.

2. Defectele de proiectare logică existente în sistem, cum ar fi lacunele în procesele de plată.

3. Vulnerabilități cauzate de defecte ale mecanismului de autentificare slab, inclusiv, dar fără a se limita la, funcții sensibile care pot fi sparte prin forță brută, interfață de conectare fără captcha etc.

4. Vulnerabilitate SSRF fără ecou.

5. Vulnerabilități care necesită interacțiune pentru a obține informații despre identitatea utilizatorului, inclusiv, dar fără a se limita la, CSRF pentru operațiuni sensibile, XSS de stocare, deturnare JSONP pentru informații sensibile etc.

6. Vulnerabilitate de tip denial-of-service la distanță care poate dezactiva anumite funcționalități ale unei aplicații online (trebuie demonstrat că afectează și alți utilizatori).

7. O vulnerabilitate care determină un dispozitiv inteligent să refuze serviciul. De exemplu, un dispozitiv de sistem este supus unui atac permanent de tip denial-of-service inițiat local (dispozitivul nu mai poate fi utilizat: este complet deteriorat permanent sau întregul sistem de operare trebuie rescris), o vulnerabilitate de tip atac temporar de tip denial-of-service cauzată de atacuri la distanță (suspendare sau repornire la distanță), iar atacul trebuie să se poată replica rapid în loturi.

8. O vulnerabilitate care permite sistemelor de afaceri obișnuite să utilizeze identitățile altor persoane pentru a efectua toate operațiunile funcționale dincolo de autoritatea lor.

Vulnerabilitate la risc scăzut

1. Vulnerabilități care pot fi exploatate în atacurile de phishing, inclusiv, dar fără a se limita la, vulnerabilități de redirecționare URL.

2. Defecte de proiectare logică cu risc scăzut.

3. Vulnerabilități minore de scurgere de informații, inclusiv, dar fără a se limita la, scurgeri de căi, scurgeri de fișiere .git și conținutul jurnalelor de afaceri de pe server.

4. Vulnerabilități care pot fi exploatate pentru phishing sau hacking, inclusiv, dar fără a se limita la, ajustări arbitrare ale URL-urilor și vulnerabilități XSS reflectorizante.

5. Terminal mobil: denial of service local (inclusiv, dar fără a se limita la, denial of service cauzat de permisiunile componentelor Android care nu aparțin unor terțe părți), scurgeri minore de informații (care afectează doar utilizatorii individuali) etc.

6. O vulnerabilitate care determină un dispozitiv să refuze temporar serviciul. Aceasta include, dar nu se limitează la, vulnerabilități de tip atac temporar de tip denial-of-service cauzate de atacuri locale (dispozitivele trebuie restaurate la setările din fabrică).

Ignorarea problemei

1. Probleme legate de erori care nu au legătură cu securitatea, inclusiv, dar fără a se limita la, deschiderea lentă a paginilor web, stilul dezordonat etc.

2. Raportul transmis este prea simplu și nu poate fi reprodus conform conținutului raportului, inclusiv, dar fără a se limita la, vulnerabilitățile care nu pot fi reproduse nici după comunicarea repetată cu auditorul de vulnerabilități.

3. Rapoarte neexploatabile sau inofensive, inclusiv, dar fără a se limita la, CSRF fals (fără impact real asupra utilizatorilor), denial-of-service local care nu poate afecta alte persoane, Self-XSS, PDF XSS, scurgeri de informații nesensibile (IP intranet, nume de domeniu), mail bomb etc.

4. Nicio scurgere practică de cod sursă.

5.Problema de securitate din modulul non-Ugreen al produsului hardware sau defectul hardware-ului în sine.

6. Probleme de securitate pe care Ugreen le dezvăluie în mod proactiv sau care au fost dezvăluite extern.

7. Probleme de securitate ale Produselor, aplicațiilor sau aplicațiilor WEB care nu mai sunt întreținute.

8. Vulnerabilitățile pe care Ugreen este capabil să le autovalideze intern sunt cunoscute și au fost remediate.

9. Refuzarea serviciului cauzată de permisiunile a trei componente Android.

Orice informații furnizate către Ugreen despre vulnerabilitățile produselor NAS, inclusiv toate informațiile din rapoartele de vulnerabilități ale produselor. Informațiile pe care le transferați vor fi deținute și utilizate de Ugreen.

Ugreen își rezervă dreptul de a modifica această politică în orice moment.