Ivanti se compromete a mantener seguros productos e infraestructuras para nuestros clientes y en beneficio de la comunidad. Ivanti aprecia y apoya los esfuerzos de la comunidad de seguridad que nos ayudan a mantener ese compromiso informándonos de posibles problemas.
Nuestra Política de Divulgación Responsable se aplica a todos los productos y redes de Ivanti, incluidos los productos y redes de las empresas adquiridos por Ivanti. Algunos productos de Ivanti están cubiertos por un programa de «bug bounty» (tal y como se indica a continuación).
Informes
Para todos los problemas con los productos o soluciones de Ivanti, incluidos los productos de las empresas adquiridas por Ivanti (como los productos de Pulse Secure y MobileIron), por favor, informe de los problemas a través de nuestro HackerOne.
Para los problemas con la infraestructura de Ivanti y todos los demás informes no relacionados con productos, por favor, póngase en contacto con nosotros a través de nuestro
correo electrónico de divulgación responsable.
Si le preocupa la sensibilidad de la información que desea compartir, puede:
- Utilizar nuestra clave de PGP aquí para su uso (huella digital: 5A86 C77C A361 B145 8A2C D672 DBF5 C7A9 FE96 C03D). Si desea verificar la huella digital, por favor, envíenos un correo electrónico.
- Enviarnos un correo electrónico a la dirección anterior y solicitar que se inicie un hilo de correo electrónico cifrado O365.
Le rogamos que nos proporcione un informe de alta calidad, incluyendo una prueba de concepto. Si realizó su prueba
contra un sistema accesible desde Internet, le rogamos que proporcione la dirección IP desde la que realizó la prueba para que podamos
validar rápidamente sus actividades.
Exclusiones del alcance
Los siguientes tipos de ataques no se consideran parte de nuestro Programa de Divulgación Responsable:
- Ataques de denegación de servicio, incluyendo ataques de agotamiento de recursos, «exploits» que causen denegación de servicio u otros tipos de «pruebas de resistencia» contra Ivanti Corporate o Ivanti Hosted Solutions que puedan llevar a la interrupción de los servicios.
- Pruebas físicas de las oficinas de Ivanti, centros de datos, instalaciones de alojamiento, etc.
- Ingeniería social de nuestros empleados, clientes, socios, etc.
- Cualquier ataque o evento contra un producto o solución de Ivanti alojado por un cliente en su propia red sin consentimiento previo para realizar las pruebas.
Además de lo anterior, las vulnerabilidades y debilidades siguientes están fuera del alcance:
- «Clickjacking» en páginas sin acciones sensibles o sin impacto.
- Falsificación de petición en sitios cruzados (CSRF) en formularios no autentificados o sin acciones sensibles.
- Los ataques que requieran MITM o acceso físico a un dispositivo, aplicación o entorno de usuario se comprobarán caso por caso.
- Bibliotecas vulnerables previamente conocidas sin una prueba de concepto que funcione.
- Inyección de valores separados por comas (CSV) sin demostrar una vulnerabilidad.
- Falta de buenas prácticas en la configuración de SSL/TLS, incluyendo algoritmos criptográficos débiles.
- Problemas de suplantación de contenido e inyección de texto sin mostrar un vector de ataque/sin poder modificar el HTML/CSS.
- Problemas de limitación de velocidad o de fuerza bruta en terminales sin autenticación.
- Falta de buenas prácticas en la Política de Seguridad de Contenidos.
- Falta de «flag» HttpOnly o Secure en las «cookies».
- Falta de buenas prácticas de correo electrónico, como registros SPF/DKIM/DMARC no válidos, incompletos o faltantes.
- Vulnerabilidades que solo afectan a los usuarios de navegadores o sistemas operativos obsoletos o sin parches.
- Revelación de la versión del «software» o problemas de identificación de «banners».
- «Tabnabbing».
- Redirecciones abiertas, a menos que se pueda demostrar un impacto adicional en la seguridad.
- Las vulnerabilidades públicas de día cero que tengan un parche oficial desde hace menos de un mes se comprobarán caso por caso.
Qué esperar de Ivanti
En respuesta a su informe, Ivanti:
- Le contestará en un plazo de dos días hábiles para informarle de que hemos recibido su informe.
- Confirmará si su informe es un problema dos días hábiles después de la recepción confirmada.
- Le proporcionará un informe sobre cómo lo solucionaremos y cuándo lo haremos.
- Le avisará cuando se haya solucionado.
- Hará público un informe cuando sea necesario. Los informantes que sigan la Política de Divulgación Responsable podrán recibir reconocimiento público.
¡Los informantes que informen de problemas desconocidos hasta ahora recibirán un artículo promocional de Ivanti!
Programa de «bug bounty» de Ivanti
Ivanti se enorgullece de incluir un programa de «bug bounty» de HackerOne para:
- Productos de Pulse Connect Secure
- Productos de MobileIron Core
- Para más detalles, consulte el programa HackerOne: https://hackerone.com/ivanti
El programa de «bug bounty» opera dentro de esta política de divulgación responsable (incluyendo las exclusiones anteriores) y las recompensas se premian en función de la gravedad de la vulnerabilidad y de la calidad del informe.
Otros problemas de seguridad comunicados que se hayan validado se recompensarán con un artículo promocional de Ivanti. Por favor, no pida otro tipo de pago.
Un puerto seguro y legal
Los investigadores que se esfuercen de buena fe por cumplir con esta política de divulgación publicada se considerarán «testers» autorizados de Ivanti. Ivanti hará un esfuerzo de buena fe para trabajar con los investigadores que informen de problemas bajo este programa. Si un tercero inicia una acción legal contra usted en relación con las actividades llevadas a cabo bajo esta política, tomaremos medidas para que se sepa que sus acciones se llevaron a cabo
de conformidad con esta política.
Ivanti se reserva el derecho de emprender acciones legales contra los individuos que no trabajen dentro de esta política e infrinjan las condiciones de uso, los EULA o las leyes y regulaciones locales. Ivanti no reconoce otras políticas, plazos, programas o marcos de divulgación responsable que no estén cubiertos por esta política. Las personas que informen de posibles problemas en el marco de varios programas sin recibir primero la autorización de Ivanti no se reconocerán como que operan bajo esta política.
Preguntas
Si tiene algún problema con los métodos anteriores o tiene alguna pregunta, puede ponerse en contacto con el equipo de Seguridad de la Información de Ivanti en [email protected].