Ivanti ist bestrebt, sichere Produkte und Infrastrukturen für unsere Kunden und zum Nutzen der Gemeinschaft bereitzustellen. Ivanti schätzt und unterstützt die Bemühungen der Sicherheits-Community, die uns dabei helfen, diese Verpflichtung einzuhalten, indem sie uns potenzielle Probleme melden.
Unsere Richtlinie zur verantwortungsvollen Offenlegung gilt für alle Ivanti-Produkte und Ivanti-Netzwerke, einschließlich der von Ivanti übernommenen Produkte und Netzwerkunternehmen. Einige Ivanti-Produkte fallen unter ein Bug-Bounty-Programm (wie unten angegeben).
Berichte
Für alle Probleme mit Ivanti-Produkten oder -Lösungen, einschließlich Produkten von Unternehmen, die von Ivanti übernommen wurden (wie Pulse Secure und MobileIron Products), melden Sie bitte Probleme über unser HackerOne.
Bei Problemen mit der Ivanti-Infrastruktur und allen anderen Berichten, die nicht das Produkt betreffen, kontaktieren Sie uns bitte über unsere
E-Mail-Adresse für verantwortungsvolle Offenlegung.
Wenn Sie Bedenken wegen der Sensibilität der Informationen haben, die Sie weitergeben möchten, können Sie folgendes tun:
- Hier können Sie unseren PGP-Schlüssel verwenden (Fingerabdruck: 5A86 C77C A361 B145 8A2C D672 DBF5 C7A9 FE96 C03D). Wenn Sie den Fingerabdruck verifizieren möchten, senden Sie uns bitte eine E-Mail.
- Senden Sie uns eine E-Mail an die oben genannte Adresse und fordern Sie die Einrichtung eines verschlüsselten O365-E-Mail-Threads an.
Wir bitten Sie um einen qualitativ hochwertigen Bericht, einschließlich eines Proof-of-Concept. Wenn Sie Ihren Test
mit einem internetfähigen System durchgeführt haben, bitten wir Sie, die IP-Adresse anzugeben, von der aus Sie den Test durchgeführt haben, damit wir
Ihre Aktivitäten schnell überprüfen können.
Ausnahmen vom Geltungsbereich
Die folgenden Arten von Angriffen werden nicht als Teil unseres Programms zur verantwortungsvollen Offenlegung betrachtet:
- Denial-of-Service-Angriffe, einschließlich Resource-Exhaustion-Angriffe, Exploits, die eine Dienstverweigerung verursachen, oder andere Arten von „Ausfallsicherheitstests“ gegen Ivanti Corporate oder Ivanti Hosted Solutions, die zu einer Unterbrechung der Dienste führen könnten.
- Physische Tests von Ivanti-Büros, Rechenzentren, Colocation-Einrichtungen usw.
- Social Engineering unserer Mitarbeiter, Kunden, Partner, usw.
- Jeder Angriff oder Vorfall gegen ein Ivanti-Produkt oder eine Ivanti-Lösung, die von einem Kunden in seinem eigenen Netzwerk gehostet wird, ohne vorherige Genehmigung zur Durchführung von Tests.
Zusätzlich zu den oben genannten Schwachstellen sind die folgenden Schwachstellen und Anfälligkeiten außerhalb des Geltungsbereichs:
- Clickjacking auf Seiten ohne sensible Aktionen oder ohne Auswirkungen.
- Cross-Site Request Forgery (CSRF) auf nicht authentifizierten Formularen oder Formularen ohne sensible Aktionen.
- Angriffe, die MITM oder physischen Zugriff auf ein Benutzergerät, eine Anwendung oder eine Umgebung erfordern, werden von Fall zu Fall geprüft.
- Bisher bekannte anfällige Bibliotheken ohne funktionierenden Proof of Concept.
- Comma Separated Values (CSV) Injection ohne Nachweis einer Schwachstelle.
- Fehlende Best Practices bei der SSL/TLS-Konfiguration, einschließlich schwacher Chiffren.
- Probleme mit Content-Spoofing und Textinjektion, ohne einen Angriffsvektor zu zeigen bzw. ohne HTML/CSS verändern zu können.
- Probleme mit der Ratenbegrenzung oder Bruteforce auf nicht-authentifizierten Endpunkten.
- Fehlende Best Practices in der Richtlinie für Inhaltssicherheit.
- Fehlende HttpOnly- oder Secure-Flags bei Cookies.
- Fehlende E-Mail-Best Practices wie ungültige, unvollständige oder fehlende SPF/DKIM/DMARC-Einträge.
- Schwachstellen, die nur Benutzer von veralteten oder ungepatchten Browsern oder Betriebssystemen betreffen.
- Probleme bei der Offenlegung von Softwareversionen oder der Identifizierung von Bannern.
- Tabnabbing.
- Offene Redirects, es sei denn, es kann eine zusätzliche Sicherheitsauswirkung nachgewiesen werden.
- Öffentliche Zero-Day-Schwachstellen, für die es seit weniger als 1 Monat einen offiziellen Patch gibt, werden von Fall zu Fall geprüft.
Was Sie von Ivanti erwarten können
Als Antwort auf Ihren Bericht, wird Ivanti:
- Ihnen innerhalb von zwei Werktagen antworten, um Ihnen mitzuteilen, dass wir Ihren Bericht erhalten haben.
- Zwei Werktage nach der Empfangsbestätigung bestätigen, ob es sich bei Ihrem Bericht um eine Meldung handelt.
- Ihnen einen Bericht darüber zukommen lassen, wie wir das Problem beheben und wann wir es beheben.
- Sie wissen lassen, wenn das Problem behoben ist.
- Gegebenenfalls einen öffentlichen Bericht herausgeben. Berichtende, die sich an die Richtlinie zur verantwortungsvollen Offenlegung halten, können öffentlich genannt werden.
Für Berichtende, die bisher unbekannte Probleme melden, schicken wir Ivanti-Swag als Dankeschön!
Das Bug-Bounty-Programm von Ivanti
Ivanti ist stolz darauf, ein Bug-Bounty-Programm von HackerOne für folgende Produkte anzubieten:
- Pulse Connect Secure Produkte
- MobileIron Core Produkte
- Weitere Einzelheiten finden Sie im HackerOne Programm: https://hackerone.com/ivanti
Das Bug-Bounty-Programm arbeitet im Rahmen dieser Richtlinie zur verantwortungsvollen Offenlegung (einschließlich der oben genannten Ausnahmen) und die Prämien richten sich nach dem Schweregrad der Sicherheitslücke und der Qualität des Berichts.
Andere gemeldete Sicherheitsprobleme, die validiert wurden, werden mit Ivanti-Swag belohnt. Bitte fragen Sie nicht nach einer anderen Bezahlung.
Safe Harbor und Rechtliches
Forscher, die sich nach bestem Wissen und Gewissen bemühen, diese Richtlinie zur Offenlegung zu befolgen, werden als autorisierte Ivanti-Tester betrachtet. Ivanti bemüht sich ebenfalls nach bestem Wissen und Gewissen, mit Forschern zusammenzuarbeiten, die Probleme im Rahmen dieses Programms melden. Sollte ein Dritter im Zusammenhang mit Aktivitäten, die im Rahmen dieser Richtlinie durchgeführt wurden, rechtliche Schritte gegen Sie einleiten, werden wir Maßnahmen ergreifen, um bekannt zu machen, dass Ihre Handlungen in
Übereinstimmung mit dieser Richtlinie durchgeführt wurden.
Ivanti behält sich das Recht vor, juristisch gegen Personen vorzugehen, die sich nicht an diese Richtlinie halten und gegen ToS, EULAs oder lokale Gesetze und Vorschriften verstoßen. Ivanti erkennt keine anderen Richtlinien, Zeitpläne, Programme oder Frameworks zur verantwortungsvollen Offenlegung an, die nicht durch diese Richtlinie abgedeckt sind. Personen, die potenzielle Probleme im Rahmen mehrerer Programme melden, ohne zuvor eine Freigabe von Ivanti zu erhalten, werden nicht als im Rahmen dieser Richtlinie handelnd betrachtet.
Fragen
Wenn Sie Probleme mit den oben genannten Methoden haben oder Fragen haben, können Sie das Ivanti Information Security Team unter [email protected] erreichen.