Política de divulgación de vulnerabilidades

Ugreen Group Limited (en adelante, "Nosotros" o "Ugreen"), como fabricante de productos NAS, concede gran importancia a la seguridad de sus propios productos y negocios, y reconoce la importancia de la privacidad y la seguridad de los datos. La gestión de cada vulnerabilidad de seguridad y la mejora de la seguridad empresarial son esenciales para la cooperación conjunta de todas las partes. Si descubre o cree haber descubierto una posible vulnerabilidad de seguridad en su uso de los Servicios NAS, le recomendamos que nos lo comunique lo antes posible, de acuerdo con esta Política de Divulgación de Vulnerabilidades. Le garantizamos que contamos con personal dedicado a dar seguimiento, analizar y abordar los problemas reportados por cada denunciante, y que responderemos a la brevedad.

1. Proceso de retroalimentación y procesamiento de vulnerabilidades

[Retroalimentación sobre vulnerabilidades]

Si cree que los productos NAS tienen vulnerabilidades o incidentes de seguridad que deben informarse, complete el siguiente formulario de informe de vulnerabilidad.

[Proceso de tratamiento de vulnerabilidades]

Paso 1: El reportero debe proporcionar información detallada sobre la vulnerabilidad.

Paso 2: Ugreen verifica la información de vulnerabilidad recibida y la evalúa.

Paso 3: corrija la vulnerabilidad y verifique la reparación de los productos NAS.

Paso 4: Lanzar una nueva versión del producto NAS para actualizaciones.

Paso 5: Responder al reportero con los resultados del procesamiento.

Paso 6: Supervise la estabilidad del producto NAS después de la actualización.

[Fase de revisión de vulnerabilidades]

1. El informe se confirmará dentro de 1 día hábil después de su recepción y se realizará una evaluación inicial.

2. Dentro de 3 días hábiles se completará la evaluación y se solucionará la vulnerabilidad o se desarrollará un plan de remediación.

[Fase de corrección de errores y finalización]

1. Las vulnerabilidades críticas se solucionarán dentro de los 3 días hábiles siguientes a la finalización de la evaluación.

2. Las vulnerabilidades de alto riesgo se solucionarán dentro de los 7 días hábiles siguientes a la finalización de la evaluación.

3. Las vulnerabilidades de riesgo medio se solucionarán dentro de los 30 días hábiles siguientes a la finalización de la evaluación.

4. Las vulnerabilidades de bajo riesgo se solucionarán dentro de los 60 días hábiles siguientes a la finalización de la evaluación.

5.Algunas vulnerabilidades están sujetas a limitaciones ambientales o de hardware, y el tiempo de reparación final dependerá de la situación real.

Se emite un boletín de seguridad de emergencia separado para vulnerabilidades de impacto grave o significativo.

2. Estándares de calificación de vulnerabilidad

Según el grado de daño de las vulnerabilidades, se dividen en cuatro niveles: grave, alto riesgo, riesgo medio y bajo riesgo. Cuando recibimos un informe de vulnerabilidad, tomamos una serie de medidas para resolverlo internamente, de acuerdo con la norma ISO/IEC 30111. Todas las vulnerabilidades reportadas se califican según los criterios del Sistema Común de Puntuación de Vulnerabilidades (CVSS 3.1).

[Vulnerabilidades críticas]

1. Vulnerabilidades de acceso directo remoto a permisos del sistema (permisos del servidor, permisos del cliente, dispositivos inteligentes), incluidas, entre otras, la ejecución de código arbitrario, la ejecución de comandos arbitrarios, la carga y la utilización.

2. El sistema central de negocios tiene defectos de diseño lógico, incluidos, entre otros, cualquier modificación de contraseña de cuenta sin ninguna restricción de protección, cualquier inicio de sesión de cuenta, etc.

3. Conduce directamente a graves vulnerabilidades de fuga de información en el sistema comercial en línea, incluidas, entre otras, vulnerabilidades de inyección SQL en la base de datos central.

4. Terminal móvil: Vulnerabilidad de ejecución remota de código que puede afectar directamente a un gran número de usuarios sin interacción.

5. Lado del dispositivo: acceso remoto a los permisos de ejecución del dispositivo (como descargar otros datos de usuarios del NAS, acceso remoto a dispositivos, etc.) en el entorno de Internet, no existe ninguna vulnerabilidad de ejecución remota de comandos interactiva en el entorno de Internet.

Vulnerabilidad de alto riesgo

1. Vulnerabilidades que conducen directamente a la fuga de información confidencial en servidores en línea, incluidas, entre otras, la fuga de código fuente del sistema central, la descarga de archivos de registro confidenciales del servidor, etc.

2. El sistema central de negocios puede usar la identidad de otros para realizar todas las funciones de la vulnerabilidad, la vulnerabilidad de operación no autorizada importante o sensible del sistema central de negocios.

3. El acceso no autorizado a la plataforma de administración y el uso de funciones de administrador, incluidos, entre otros, el inicio de sesión de la cuenta de administrador en segundo plano confidencial, la actividad de la plataforma relevante, la base de usuarios, la importancia funcional y la sensibilidad de la información del usuario se considerarán como criterios de calificación de vulnerabilidad de alto riesgo.

4. Vulnerabilidad de fuga de información de alto riesgo. Incluye, entre otras, la fuga de datos confidenciales que pueden explotarse directamente y vulnerabilidades que pueden revelar una gran cantidad de información de identidad del usuario.

5. Vulnerabilidades SSRF con ecos que pueden acceder a la Intranet de Ugreen.

6. Terminal móvil: Las aplicaciones de terceros utilizan funciones de cliente móvil en todas las aplicaciones para realizar operaciones de alto riesgo (como lectura y escritura de archivos, lectura y escritura de SMS y lectura y escritura de datos de cliente) y fugas de información confidencial de alto riesgo.

7. Dispositivo: obtiene permiso de ejecución del dispositivo (como descargar datos de otros usuarios del NAS o acceder remotamente a dispositivos) desde la fuente cercana o la LAN. No existe ninguna vulnerabilidad de ejecución remota interactiva de comandos en la fuente cercana ni en la LAN.

8. Dispositivo: Vulnerabilidades que provocan de forma remota una denegación permanente de servicio en los dispositivos, incluidos, entre otros, ataques de denegación de servicio remoto en dispositivos del sistema (los dispositivos ya no se pueden utilizar, se dañan de forma permanente o es necesario reescribir todo el sistema), y los ataques no permiten el contacto físico con los dispositivos, y los ataques deben replicarse rápidamente en lotes.

Vulnerabilidad de riesgo medio

1. Fuga de información ordinaria, que incluye, entre otras, la descarga de paquetes de compresión del código fuente de la contraseña de almacenamiento de texto simple del cliente móvil, que contiene información confidencial del servidor o de la base de datos.

2. Los defectos de diseño lógico existentes en el sistema, como por ejemplo lagunas en los pagos.

3. Vulnerabilidades causadas por defectos en el mecanismo de autenticación débil, incluyendo, entre otros, funciones sensibles de captcha que pueden ser descifradas por fuerza bruta, interfaz de inicio de sesión sin captcha, etc.

4. Vulnerabilidad SSRF sin eco.

5. Vulnerabilidades que requieren interacción para obtener información de identidad del usuario, incluyendo, entre otras, CSRF para operaciones sensibles, XSS de almacenamiento, secuestro de JSONP para información sensible, etc.

6. Vulnerabilidad de denegación de servicio remota que puede deshabilitar algunas funciones de una aplicación en línea (es necesario demostrar que afecta a otros usuarios).

7. Una vulnerabilidad que provoca la denegación de servicio de un dispositivo inteligente. Por ejemplo, un dispositivo del sistema se ve sometido a un ataque de denegación de servicio permanente iniciado localmente (el dispositivo ya no puede utilizarse: sufre daños permanentes o es necesario reescribir todo el sistema operativo), una vulnerabilidad de denegación de servicio temporal causada por ataques remotos (suspensión o reinicio remotos), y el ataque debe poder replicarse rápidamente en lotes.

8. Una vulnerabilidad que permite a los sistemas comerciales ordinarios utilizar las identidades de otras personas para realizar todas las operaciones funcionales que están más allá de su autoridad.

Vulnerabilidad de bajo riesgo

1. Vulnerabilidades que pueden explotarse en ataques de phishing, incluidas, entre otras, vulnerabilidades de redirección de URL.

2. Defectos de diseño lógico de bajo riesgo.

3. Vulnerabilidades menores de fuga de información, incluidas, entre otras, fugas de rutas, fugas de archivos .git y contenidos del registro comercial del lado del servidor.

4. Vulnerabilidades que pueden explotarse para realizar phishing o piratería, incluidas, entre otras, ajustes arbitrarios de URL y vulnerabilidades XSS reflexivas.

5. Terminal móvil: denegación de servicio local (incluida, entre otras, la denegación de servicio causada por permisos de componentes de Android que no sean de terceros), fuga de información menor (que solo afecta a usuarios individuales), etc.

6. Una vulnerabilidad que provoca que un dispositivo deniegue temporalmente el servicio. Esto incluye, entre otras, vulnerabilidades de ataques de denegación de servicio temporales causadas por ataques locales (los dispositivos deben restaurarse a la configuración de fábrica).

Ignorando el problema

1. Problemas de errores no relacionados con la seguridad, incluidos, entre otros, apertura lenta de páginas web, estilo desordenado, etc.

2. El informe presentado es demasiado simple y no puede reproducirse de acuerdo con su contenido, incluidas, entre otras, las vulnerabilidades que no pueden reproducirse incluso después de una comunicación repetida con el auditor de vulnerabilidades.

3. Informes inofensivos o no explotables, incluidos, entre otros, CSRF falsos (sin impacto real en los usuarios), denegación de servicio local que no puede afectar a otros, Self-XSS, PDF XSS, fuga de información no confidencial (IP de intranet, nombre de dominio), bombas de correo, etc.

4. No hay fugas prácticas del código fuente.

5. El problema de seguridad en el módulo no Ugreen del producto de hardware, o el defecto del hardware en sí.

6. Problemas de seguridad que Ugreen divulga de forma proactiva o que se han divulgado externamente.

7. Problemas de seguridad en productos, aplicaciones o aplicaciones WEB que ya no reciben mantenimiento.

8. Vulnerabilidades que Ugreen puede autovalidar internamente, conocidas y corregidas.

9. Denegación de servicio causada por permisos de tres componentes de Android.

Cualquier información proporcionada a Ugreen sobre vulnerabilidades en productos NAS, incluida toda la información contenida en los informes de vulnerabilidad de productos. La información que transfiera será propiedad de Ugreen y será utilizada por esta empresa.

Ugreen se reserva el derecho de modificar esta política en cualquier momento.