Politique de divulgation des vulnérabilités

Ugreen Group Limited (ci-après dénommée « Nous » ou « Ugreen »), fabricant de produits NAS, accorde une grande importance à la sécurité de ses produits et de son activité, et reconnaît l'importance de la confidentialité et de la sécurité des données. La gestion de chaque faille de sécurité et l'amélioration de la sécurité de l'entreprise nécessitent la collaboration de toutes les parties prenantes. Si vous découvrez ou pensez avoir découvert une faille de sécurité potentielle lors de l'utilisation des services NAS, nous vous encourageons à nous la signaler dès que possible, conformément à la présente Politique de signalement des vulnérabilités. Nous nous engageons à mobiliser une équipe dédiée pour assurer le suivi, l'analyse et la résolution des problèmes signalés, et à vous répondre dans les meilleurs délais.

 

1. Processus de retour d'information et de traitement des vulnérabilités

[Retour d'information sur la vulnérabilité]

Si vous pensez que les produits NAS présentent des vulnérabilités ou des incidents de sécurité qui doivent être signalés, veuillez remplir le formulaire suivant.Formulaire de rapport de vulnérabilité.

 

[Processus de traitement des vulnérabilités]

Étape 1 : Le journaliste doit fournir des informations détaillées sur

la vulnérabilité.

Étape 2 : Ugreen vérifie et évalue les informations de vulnérabilité reçues.

Étape 3 : Corrigez la vulnérabilité et vérifiez la réparation des produits NAS.

Étape 4 : Publier une nouvelle version du produit NAS pour les mises à jour.

Étape 5 : Répondre au journaliste avec les résultats du traitement.

Étape 6 : Surveillez la stabilité du produit NAS après la mise à jour.

 

[Phase d'examen de la vulnérabilité]

1. Le rapport sera confirmé dans un délai d'un jour ouvrable suivant sa réception et une évaluation initiale sera effectuée.

2. Dans un délai de 3 jours ouvrables, l'évaluation sera terminée et la vulnérabilité sera corrigée ou un plan de remédiation sera élaboré.

 

[Phase de correction et d'achèvement des vulnérabilités]

1. Les vulnérabilités critiques seront corrigées dans les 3 jours ouvrables suivant la fin de l'évaluation.

2. Les vulnérabilités à haut risque seront corrigées dans un délai de 7 jours ouvrables après la réalisation de l'évaluation.

3. Les vulnérabilités à risque moyen seront corrigées dans les 30 jours ouvrables suivant la réalisation de l'évaluation.

4. Les vulnérabilités à faible risque seront corrigées dans un délai de 60 jours ouvrables après la réalisation de l'évaluation.

Certaines vulnérabilités sont soumises à des limitations environnementales ou matérielles, et le délai de réparation final dépendra de la situation réelle.

Un bulletin de sécurité d'urgence distinct est publié pour les vulnérabilités ayant un impact grave ou significatif.

 

2. Normes d'évaluation de la vulnérabilité

Selon leur gravité, les vulnérabilités sont classées en quatre niveaux : risque extrême, risque élevé, risque moyen et risque faible. Dès réception d’un signalement de vulnérabilité, nous mettons en œuvre une série de mesures internes pour la résoudre, conformément à la norme ISO/IEC 30111. Toutes les vulnérabilités signalées sont évaluées selon les critères du système de notation des vulnérabilités commun CVSS 3.1.

 

 

[Vulnérabilités extrêmes]

1. Accès direct à distance aux vulnérabilités des permissions système (permissions du serveur, permissions du client, appareils intelligents), y compris, mais sans s'y limiter, l'exécution de code arbitraire, l'exécution de commandes arbitraires, le téléchargement et l'utilisation de chevaux de Troie WebShell.

2. Le système d'information principal présente des défauts de conception logique, notamment la possibilité de modifier le mot de passe d'un compte sans aucune restriction de protection, de se connecter à n'importe quel compte, etc.

3. Cela conduit directement à de graves vulnérabilités de fuite d'informations dans le système commercial en ligne, y compris, mais sans s'y limiter, des vulnérabilités d'injection SQL dans la base de données principale.

4. Terminal mobile : Vulnérabilité d'exécution de code à distance pouvant affecter directement un grand nombre d'utilisateurs sans interaction.

5. Côté périphérique : en ce qui concerne les autorisations d'exécution à distance du périphérique (telles que le téléchargement d'autres données utilisateur NAS, l'accès à distance aux périphériques, etc.) dans l'environnement Internet, il n'existe aucune vulnérabilité d'exécution de commandes interactives à distance dans l'environnement Internet.

 

 

【Vulnérabilité à haut risque】

1. Les vulnérabilités qui entraînent directement la fuite d'informations sensibles sur les serveurs en ligne incluent, sans s'y limiter, la fuite du code source du système principal, le téléchargement de fichiers journaux sensibles du serveur, etc.

2. Le système d'information central peut utiliser l'identité d'autrui pour exécuter toutes les fonctions de la vulnérabilité, ce qui constitue une vulnérabilité importante ou sensible pour le fonctionnement non autorisé du système d'information central.

3. L'accès non autorisé à la plateforme de gestion et l'utilisation des fonctions d'administrateur, y compris, mais sans s'y limiter, la connexion à un compte d'administrateur sensible, l'activité de la plateforme concernée, la base d'utilisateurs, l'importance fonctionnelle et la sensibilité des informations des utilisateurs seront considérés comme des critères d'évaluation de vulnérabilité à haut risque.

4. Vulnérabilité de fuite d'informations à haut risque. Cela inclut, sans s'y limiter, les fuites de données sensibles pouvant être directement exploitées, ainsi que les vulnérabilités de fuite pouvant conduire à la divulgation d'une grande quantité d'informations d'identité des utilisateurs.

5. Vulnérabilités SSRF avec des échos qui peuvent accéder à l'intranet Ugreen.

6. Terminal mobile : Les applications tierces utilisent les fonctions client mobile de plusieurs applications pour effectuer des opérations à haut risque (telles que la lecture et l'écriture de fichiers, la lecture et l'écriture de SMS et la lecture et l'écriture de données client), et des fuites d'informations sensibles à haut risque.

7. Périphérique : obtient l’autorisation d’exécution de commandes (par exemple, le téléchargement de données d’autres utilisateurs du NAS ou l’accès à distance à des périphériques) depuis la source proche ou le réseau local. Aucune vulnérabilité d’exécution de commandes à distance interactive n’est présente sur la source proche ou le réseau local.

8. Dispositif : Les vulnérabilités qui provoquent à distance un déni de service permanent sur les dispositifs incluent, sans toutefois s'y limiter, les attaques par déni de service à distance sur les dispositifs du système (les dispositifs ne peuvent plus être utilisés, sont complètement et définitivement endommagés ou l'ensemble du système doit être réécrit), et les attaques ne permettent pas de contact physique avec les dispositifs, et les attaques doivent être rapidement répliquées par lots.

 

【Vulnérabilité de risque moyen】

1. Fuite d'informations ordinaires, y compris, mais sans s'y limiter, le mot de passe de stockage en clair du client mobile, le téléchargement de packages de compression de code source contenant des informations sensibles du serveur ou de la base de données, etc.

2. Les défauts de conception logique existants dans le système, tels que les failles de paiement, etc.

3. Vulnérabilités causées par des défauts de mécanismes d'authentification faibles, y compris, mais sans s'y limiter, la possibilité de craquer par force brute les fonctions sensibles captcha, l'absence de captcha dans l'interface de connexion, etc.

4. Vulnérabilité SSRF sans écho.

5. Vulnérabilités nécessitant une interaction pour obtenir des informations d'identité de l'utilisateur, y compris, mais sans s'y limiter, les attaques CSRF pour les opérations sensibles, les attaques XSS de stockage, le détournement JSONP pour les informations sensibles, etc.

6. Vulnérabilité de déni de service à distance pouvant désactiver certaines fonctionnalités d'une application en ligne (il faut prouver qu'elle affecte d'autres utilisateurs).

7. Une vulnérabilité qui provoque l'indisponibilité d'un appareil intelligent. Par exemple, un système est victime d'une attaque par déni de service permanente initiée localement (l'appareil devient inutilisable : complètement et définitivement endommagé ou nécessitant la réécriture complète du système d'exploitation), ou d'une attaque par déni de service temporaire.

vulnérabilité causée par des attaques à distance (suspension ou redémarrage à distance), et l'attaque doit pouvoir se répliquer rapidement par lots.

  • Une vulnérabilité qui permet aux systèmes d'information d'une entreprise d'utiliser l'identité d'autres personnes pour effectuer toutes les opérations fonctionnelles qui dépassent leurs droits.

 

【Vulnérabilité à faible risque】

1. Vulnérabilités pouvant être exploitées dans les attaques de phishing, y compris, mais sans s'y limiter, les vulnérabilités de redirection d'URL.

2. Défauts de conception logique à faible risque.

3. Vulnérabilités mineures de fuite d'informations, y compris, mais sans s'y limiter, les fuites de chemins, les fuites de fichiers .git et le contenu des journaux d'activité côté serveur.

4. Vulnérabilités pouvant être exploitées à des fins d'hameçonnage ou de piratage,

y compris, mais sans s'y limiter, les modifications arbitraires d'URL et les vulnérabilités XSS par réflexion.

5. Terminal mobile : déni de service local (y compris, mais sans s'y limiter, le déni de service causé par les autorisations de composants Android non tiers), fuite d'informations mineure (affectant uniquement les utilisateurs individuels), etc.

6. Une vulnérabilité provoquant une interruption temporaire de service sur un appareil. Cela inclut, sans s'y limiter, les vulnérabilités d'attaque par déni de service temporaire causées par des attaques locales (les appareils doivent être réinitialisés aux paramètres d'usine).

 

[Ignorer le problème]

1. Problèmes de bogues non liés à la sécurité, y compris, mais sans s'y limiter, l'ouverture lente des pages Web, les formats désordonnés, etc.

2. Le rapport soumis est trop simple et ne peut être reproduit selon son contenu, notamment en ce qui concerne les vulnérabilités qui ne peuvent être reproduites même après des échanges répétés avec l'auditeur de vulnérabilités.

3. Rapports inexploitables ou inoffensifs, y compris, mais sans s'y limiter, les CSRF canulars (sans impact réel sur les utilisateurs), les attaques par déni de service local qui ne peuvent pas affecter les autres, les attaques XSS auto-infligées, les attaques XSS PDF, les fuites d'informations non sensibles (adresse IP intranet, nom de domaine), les attaques par bombardement de courriels, etc.

4. Aucune fuite pratique de code source.

5. Le problème de sécurité dans le module non-Ugreen du produit matériel, ou le défaut du matériel lui-même.

6. Problèmes de sécurité qu'Ugreen divulgue de manière proactive ou qui ont été divulgués à l'extérieur.

7. Problèmes de sécurité sur les produits, applications ou applications Web qui ne sont plus maintenus.

8. Les vulnérabilités qu'Ugreen est capable d'auto-valider sont connues en interne et ont été corrigées.

9. Déni de service causé par les autorisations d'applications Android tierces

composants.

 

 

Toute information fournie à Ugreen concernant les vulnérabilités des produits NAS, y compris toutes les informations contenues dans les rapports de vulnérabilité des produits

Les informations que vous transférez seront la propriété d'Ugreen et utilisées par cette dernière.

Ugreen se réserve le droit de modifier cette politique à tout moment.