Contact Security

Ivanti’s Responsible Disclosure Beleid

Ivanti zet zich in voor het behoud van veilige producten en infrastructuur voor onze klanten en ten bate van de gemeenschap. Ivanti waardeert en steunt de inspanningen van de beveiligingsgemeenschap die ons helpt die inzet vol te houden door potentiële problemen aan ons te melden.

Ons Responsible Disclosure Beleid geldt voor alle Ivanti producten en Ivanti netwerken, met inbegrip van producten en netwerken bedrijven die door Ivanti zijn overgenomen. Sommige Ivanti producten vallen onder een Bug Bounty-programma (zoals hieronder aangegeven).

Melden

Voor alle problemen met producten of oplossingen van Ivanti, inclusief producten van bedrijven die door Ivanti zijn overgenomen (zoals Pulse Secure en MobileIron Producten), geldt dat je issues kunt melden via onze HackerOne.

https://hackerone.com/ivanti

Neem voor problemen met de Ivanti infrastructuur en alle andere niet-product meldingen, contact met ons op via ons
E-mailadres voor Responsible Disclosure.

[email protected]

Als je bezorgd bent over de gevoeligheid van de informatie die je wilt delen, kun je:

  • Onze PGP-sleutel hier gebruiken (Vingerafdruk: 5A86 C77C A361 B145 8A2C D672 DBF5 C7A9 FE96 C03D). Als je de vingerafdruk wilt verifiëren, stuur ons dan een e-mail.
  • Stuur ons een e-mail op het bovenstaande adres en vraag om een O365 versleutelde e-mail thread te starten.

We vragen je om een kwalitatief hoogwaardig verslag, inclusief een Proof-of-Concept. Als je je test hebt uitgevoerd
tegen een op het internet gericht systeem, vragen we je het IP adres op te geven vanwaar je de test uitvoerde, zodat we
je activiteiten snel kunnen valideren.

Uitsluitingen van het toepassingsgebied

De volgende soorten aanvallen worden niet beschouwd als deel uitmakend van ons Responsible Disclosure-programma:

  • Denial of Service aanvallen, waaronder resource exhaustion aanvallen, exploits die denial of service veroorzaken, of andere soorten "resiliency testing" tegen Ivanti Corporate of Ivanti Hosted Solutions die tot onderbreking van de dienstverlening kunnen leiden.
  • Fysieke testen van Ivanti Kantoren, Datacenters, Colocatie faciliteiten, enz.
  • Social Engineering van onze medewerkers, klanten, partners, enz.
  • Elke aanval of voorval tegen een Ivanti product of oplossing die door een klant in zijn eigen netwerk gehost wordt, zonder voorafgaande toestemming om testen uit te voeren.

Naast het bovenstaande vallen de volgende kwetsbaarheden en zwakheden buiten het toepassingsgebied:

  • Clickjacking op pagina's zonder gevoelige acties of zonder impact.
  • Cross-Site Request Forgery (CSRF) op niet-geverifieerde formulieren of formulieren zonder gevoelige acties.
  • Aanvallen waarbij MITM of fysieke toegang tot een gebruikersapparaat, toepassing of omgeving nodig is, worden per geval bekeken.
  • Eerder bekende kwetsbare bibliotheken zonder een werkend Proof of Concept.
  • Comma Separated Values (CSV) injectie zonder een kwetsbaarheid aan te tonen.
  • Ontbrekende beste praktijken bij de configuratie van SSL/TLS, waaronder zwakke versleutelingen.
  • Content spoofing en tekst injectie problemen zonder een aanvalsvector te tonen/zonder HTML/CSS te kunnen wijzigen.
  • Rate limiting of bruteforce problemen op endpoints zonder authenticatie.
  • Ontbrekende beste praktijken in Content Security-beleid.
  • Ontbrekende HttpOnly of Secure vlaggen bij cookies.
  • Ontbrekende beste praktijken voor e-mail, zoals ongeldige, onvolledige, of ontbrekende SPF/DKIM/DMARC records.
  • Kwetsbaarheden die alleen gebruikers van verouderde of ongepatchte browsers of besturingssystemen treffen.
  • Problemen met onthulling van softwareversie of Banner-identificatie.
  • Tabnabbing.
  • Open omleidingen, tenzij een extra effect op de veiligheid kan worden aangetoond.
  • Openbare zero-day kwetsbaarheden waarvoor minder dan 1 maand een officiële patch bestaat, worden per geval bekeken.

Wat kun je verwachten van Ivanti

In antwoord op je melding zal Ivanti:

  • Binnen twee werkdagen antwoorden om je te laten weten dat we je melding hebben ontvangen.
  • Twee werkdagen na bevestigde ontvangst bevestigen of je melding een probleem is.
  • Je een rapport geven over hoe en wanneer we het gaan oplossen.
  • Je laten weten wanneer het is opgelost.
  • Een openbaar verslag uitbrengen wanneer het gepast is. Melders die het responsible disclosure-beleid opvolgen kunnen publiekelijk een naamsvermelding krijgen.

Voor melders die tot dan toe onbekende problemen melden, sturen we Ivanti Swag als dank!

Ivanti’s Bug Bounty-programma

Ivanti is er trots op een HackerOne bug bounty programma op te nemen voor:

Het Bug Bounty-programma werkt binnen dit responsible disclosure-beleid (met inbegrip van de bovenstaande uitsluitingen) en premies worden beloond op basis van de ernst van de kwetsbaarheid en de kwaliteit van het rapport.

Andere gemelde beveiligingsproblemen die gevalideerd zijn zullen beloond worden met Ivanti Swag. Vraag niet om andere vormen van betaling.

Safe Harbor en juridische aspecten

Onderzoekers die zich te goeder trouw inspannen om aan dit gepubliceerde openbaarmakingsbeleid te voldoen, worden als geautoriseerde Ivanti testers beschouwd. Ivanti zal zich even goed te goeder trouw inspannen om samen te werken met onderzoekers die in het kader van dit programma problemen melden. Als een derde partij een rechtszaak tegen je aanspant in verband met activiteiten die onder dit beleid vallen, zullen we stappen ondernemen om bekend te maken dat je acties in
overeenstemming met dit beleid werden uitgevoerd.

Ivanti behoudt zich het recht voor juridische stappen te ondernemen tegen personen die niet binnen dit beleid werken en ToS, EULA's, of plaatselijke wetten en regels overtreden. Ivanti erkent geen andere beleidslijnen, tijdlijnen, programma's, of kaders voor responsible disclosure die niet onder dit beleid vallen. Personen die potentiële problemen onder meerdere programma's melden zonder eerst toestemming van Ivanti te krijgen, worden niet geacht onder dit beleid te werken.

Vragen

Als je problemen hebt met de bovenstaande methoden of je hebt vragen, dan kun je het Ivanti Information Security team bereiken via [email protected].

Versie 1.1 / 2020. Het Responsible Disclosure Beleid is ook beschikbaar om te downloaden.