Ivanti è impegnata a mantenere in sicurezza prodotti e infrastrutture per i propri clienti e a beneficio della comunità. Ivanti apprezza e supporta gli sforzi della comunità di sicurezza che ci aiuta a mantenere questo impegno informandoci sulla presenza di potenziali problematiche.
I nostri criteri per la divulgazione responsabile si applicano a tutti i prodotti e alle reti Ivanti, inclusi i prodotti e le aziende di rete acquisite da Ivanti. Alcuni prodotti Ivanti sono coperti da un programma Bug Bounty (come indicato qui di seguito).
Segnalazione
Per tutti i problemi che riguardano prodotti o soluzioni Ivanti, inclusi i prodotti di aziende acquisite da Ivanti (come i prodotti Pulse Secure e Mobileiron), siete pregati di segnalare tali problematiche attraverso il nostro HackerOne.
Per le problematiche relative all'infrastruttura Ivanti e per tutti gli altri report per i non prodotti, siete pregati di contattarci al nostro
indirizzo email dedicato alla divulgazione responsabile.
Se siete preoccupati di condividere informazioni sensibili, potete:
- Usare la nostra chiave PGP (Fingerprint: 5A86 C77C A361 B145 8A2C D672 DBF5 C7A9 FE96 C03D). Se desiderate verificare la fingerprint, contattateci via mail.
- Inviate un'email all'indirizzo sopraindicato e richiedete l'avvio di una discussione email crittografata O365.
Vi chiediamo di fornire un report di alta qualità, includendo una Proof-of-Concept. Se avete eseguito un test
su un sistema presente su Internet, vi chiediamo di fornire l'indirizzo IP dal quale avete eseguito il test di modo che possiamo
validare velocemente le vostre attività.
Esclusioni dei campi di applicazione
I seguenti tipi di attacchi non vengono considerati come parte del nostro Programma di divulgazione responsabile:
- Attacchi di tipo Denial of Service, inclusi gli attacchi di esaurimento delle risorse, sfruttamenti che causano negazioni di servizi, o altri tipi di "test di resilienza" con Ivanti Corporate o Soluzioni ospitate da Ivanti che potrebbero portare a un'interruzione del servizio.
- Verifica fisica di Uffici, Centri dati, strutture di collocazione Ivanti, ecc.
- Ingegneria sociale dei nostri dipendenti, clienti, partner, ecc.
- Qualsiasi attacco o evento contro un prodotto o una soluzione Ivanti ospitati da un cliente nella propria rete che non abbia già ricevuto l'approvazione per eseguire il test.
Oltre a quanto sopra, le seguenti vulnerabilità e punti deboli non rientrano nel campo di applicazione:
- Casi di clickjacking su pagine senza azioni sensibili o senza impatto.
- Cross-Site Request Forgery (CSRF) su moduli non autenticati o moduli senza azioni sensibili.
- Attacchi che richiedono un accesso MITM o fisico a un dispositivo utente, applicazione o ambiente verranno valutati caso per caso.
- Librerie già note come vulnerabili senza una Proof of Concept funzionante.
- Iniezione Comma Separated Values (CSV) senza dimostrare una vulnerabilità.
- Migliori prassi mancanti nella configurazione SSL/TLS, inclusi codici cifrati deboli.
- Manomissione di contenuto o problematiche d'iniezione di testo senza mostrare un vettore di attacco/senza essere in grado di modificare HTML/CSS.
- Limitazione della velocità o problemi di bruteforce su endpoint senza autenticazione.
- Migliori prassi mancanti nei criteri sulla sicurezza dei contenuti
- Flag mancanti HttpOnly o Secure sui cookie.
- Migliori prassi email mancanti come non valide, incomplete o record SPF/DKIM/DMARC mancanti.
- Vulnerabilità che riguardano solo utenti di browser o sistemi operativi superati o senza patch.
- Problematiche relative alla divulgazione della versione del software o all'identificazione del banner.
- Tabnabbing.
- Reindirizzamenti aperti, a meno che non si possa dimostrare un impatto di sicurezza aggiuntivo.
- Vulnerabilità zero-day pubbliche che hanno avuto una patch ufficiale per meno di 1 mese verranno valutate caso per caso.
Cosa ci si aspetta da Ivanti
In risposta al vostro report, Ivanti:
- Vi risponderà entro due giorni lavorativi per farvi sapere di aver ricevuto la vostra segnalazione.
- Valuterà se la vostra segnalazione riguarda effettivamente un problema di sicurezza entro due giorni lavorativi dalla conferma di ricezione.
- Vi fornirà un report su come e quando risolverà il problema.
- Vi avviserà non appena sarà risolto.
- Rilascerà un rapporto pubblico se lo ritiene opportuno. I segnalatori che seguono i criteri di divulgazione responsabile possono essere accreditati pubblicamente.
Per i segnalatori che segnalano delle problematiche già note, invieremo un gadget Ivanti come ringraziamento!
Programma Bug Bounty di Ivanti
Ivanti è orgogliosa di includere un programma bug bounty HackerOne per:
- Prodotti Pulse Connect Secure
- Prodotti Core MobileIron
- Per maggiori dettagli sul programma HackerOne vedere: https://hackerone.com/ivanti
Il programma Bug Bounty opera all'interno di questi criteri di divulgazione responsabile (incluse le esclusioni di cui sopra) e delle ricompense vengono assegnate sulla base della gravità della vulnerabilità e sulla qualità della segnalazione.
Altre problematiche sulla sicurezza segnalate e che sono state validate verranno ricompensate con un gadget Ivanti. Non richiedete altri tipi di pagamenti.
Approdo sicuro e termini legali
I ricercatori che fanno uno sforzo in buona fede per soddisfare questi criteri di divulgazione pubblicati verranno considerati come tester Ivanti autorizzati. Ivanti farà anche lei uno sforzo in buona fede per lavorare con i ricercatori che segnalano delle problematiche all'interno di questo programma. Se viene iniziata un'azione legale contro di voi da una parte terza in relazione alle attività condotte secondo questi criteri, ci adopereremo per far sapere che le vostre azioni sono state condotte nel
rispetto di questi criteri.
Ivanti si riserva il diritto di agire per vie legali nei confronti d'individui che non operano nel rispetto di questi criteri e infrangono ToS, EULA, o leggi e regolamenti locali. Ivanti non riconosce altri criteri di divulgazione responsabile, termini, programmi o strutture che non sono coperte da questi criteri. Gli individui che segnalano delle potenziali problematiche in programmi multipli senza aver prima ricevuto l'approvazione da parte di Ivanti non verranno considerati come operanti sotto questi criteri.
Domande
Per qualsiasi problema con i metodi sopraccitati o se avete domande da fare, potete contattare il team per la sicurezza delle informazioni Ivanti all'indirizzo [email protected].