Vulnerability Disclosure Policy
Ugreen Group Limited(hereinafter referred to as "We" or "Ugreen"), as a manufacturer of NAS products, attaches great importance to the security of its own products and business, and recognizes the importance of privacy and data security. The handling of each security vulnerability and the improvement of business security cannot be separated from the joint cooperation of all parties. If you discover or believe that you have discovered a potential security vulnerability in your use of NAS Services, we encourage you to disclose your discovery to us as soon as possible in accordance with this Vulnerability Disclosure Policy. We promise that we have dedicated personnel to follow up, analyze and deal with the problems reported by each reporter, and will reply in time.
1. Vulnerability feedback and processing process
[Vulnerability feedback]
If you believe that NAS products have vulnerabilities or security incidents that need to be reported, please fill out the following vulnerability report form.
[Vulnerability Treatment Process]
Step 1: The reporter needs to provide detailed information about
the vulnerability.
Step 2: Ugreen checks and verifies the received vulnerability information and evaluates it.
Step 3: Fix the vulnerability and verify the repair of NAS products.
Step 4: Release a new version of the NAS product for updates.
Step 5: Reply to reporter with processing results.
Step 6: Monitor the stability of the NAS product after the update.
[Vulnerability Review Phase]
1. The report will be confirmed within 1 working day upon receipt and an initial assessment will be conducted.
2. Within 3 working days the assessment will be completed and the vulnerability will be fixed or a remediation plan developed.
[Vulnerability Fix & Completion phase]
1. Critical vulnerabilities will be fixed within 3 working days after completion of assessment.
2. High risk vulnerabilities will be fixed within 7 working days after completing the assessment.
3. Medium risk vulnerabilities will be fixed within 30 working days after completing the assessment.
4. Low-risk vulnerabilities will be fixed within 60 working days after completing the assessment.
Certain vulnerabilities are subject to environmental or hardware limitations, and the final repair time will be based on the actual situation.
A separate emergency security bulletin is issued for severe or significant impact vulnerabilities.
2. Vulnerability rating standards
According to the degree of harm of vulnerabilities, they are divided into four levels:extreme risk, high risk, medium risk and low risk.When we receive a vulnerability report, we take a series of steps to resolve it internally with reference to ISO/IEC 30111. All reported vulnerabilities are scored according to the Common Vulnerability Scoring System CVSS 3.1 criteria.
[Extreme Vulnerabilities]
1. Remote direct access to system permissions (server permissions, client permissions, smart devices) vulnerabilities, including but not limited to arbitrary code execution, arbitrary command execution, uploading and utilizing WebShell Trojans.
2. The core business system has logical design defects, including but not limited to any account password modification without any protection restrictions, any account login, etc.
3. It directly leads to serious information leakage vulnerabilities in the online business system, including but not limited to SQL injection vulnerabilities in the core DB.
4. Mobile terminal: Remote code execution vulnerability that can directly affect a large number of users without interaction.
5. Device side: Remote access to device execution permissions (such as downloading other NAS user data, remote access to devices, etc.) in the Internet environment, there is no interactive remote command execution vulnerability in the Internet environment.
【 High Risk vulnerability 】
1. Vulnerabilities that directly lead to the leakage of sensitive information on online servers are including but not limited to core system source code leakage, server sensitive log file download, etc.
2. The core business system can use the identity of others to perform all functions of the vulnerability, the core business system important or sensitive unauthorized operation vulnerability.
3. Unauthorized access to the management platform and use of administrator functions, including but not limited to sensitive background administrator account login, the activity of the relevant platform, user base, functional importance, and user information sensitivity will be considered as high risk vulnerability rating criteria.
4. High risk information leakage vulnerability. Including but not limited to sensitive data leakage that can be directly exploited, leakage vulnerabilities that can lead to a large amount of user identity information.
5. SSRF vulnerabilities with echoes that can access the Ugreen Intranet.
6. Mobile terminal: Third-party applications use mobile client functions across applications to perform high-risk operations (such as file read and write, SMS read and write, and client data read and write), and high-risk sensitive information leakage.
7. Device: obtains device execution permission (such as downloading other NAS user data or remotely accessing devices) from the near source or LAN. There is no interactive remote command execution vulnerability in the near source or LAN.
8. Device: Vulnerabilities that remotely cause permanent denial of service on devices are including but not limited to remote denial of service attacks on system devices (devices can no longer be used, completely permanently damaged, or the entire system needs to be rewritten), and attacks do not allow physical contact with devices, and attacks need to be quickly replicated in batches.
【 Medium Risk vulnerability 】
1. Ordinary information leakage, including but not limited to mobile client plaintext storage password, containing server or database sensitive information source code compression package download,etc.
2. The logical design defects existing in the system, such as payment loopholes,etc.
3. Vulnerabilities caused by weak authentication mechanism defects, including but not limited to sensitive function captcha can be brute force cracked, login interface no captcha, etc.
4. SSRF vulnerability without echo.
5. Vulnerabilities that require interaction to obtain user identity information, including but not limited to CSRF for sensitive operations, storage XSS, JSONP hijacking for sensitive information, etc.
6. Remote denial-of-service vulnerability that can disable some functionality of an online application (need to be proven to affect other users).
7. A vulnerability that causes a smart device to deny service. For example, a system device is subjected to a locally initiated permanent denial-of-service attack (the device can no longer be used: completely permanently damaged or the entire operating system needs to be rewritten ), a temporary denial-of-service attack
vulnerability caused by remote attacks (remote suspension or restart), and the attack needs to be able to quickly replicate in batches.
- A vulnerability that allows ordinary business systems to use other people’s identities to perform all functional operations beyond their authority.
【 Low Risk vulnerability 】
1. Vulnerabilities that can be exploited in phishing attacks, including but not limited to URL redirection vulnerabilities.
2. Low-risk logic design flaws.
3. Minor information leakage vulnerabilities, including but not limited to path leaks,.git file leaks, and server side business log contents.
4. Vulnerabilities that can be exploited for phishing or hacking,
including but not limited to arbitrary URL adjustments and reflective XSS vulnerabilities.
5. Mobile terminal: local denial of service (including but not limited to denial of service caused by non-third-party Android component permissions), minor information leakage (only affecting individual users), etc.
6. A vulnerability that causes a device to temporarily deny service. This includes but is not limited to temporary denial-of-service attack vulnerabilities caused by local attacks (devices need to be restored to factory Settings).
[Ignoring the problem]
1. Bug issues unrelated to security, including but not limited to slow opening of web pages, messy formats, etc.
2. The submitted report is too simple and cannot be reproduced according to the content of the report, including but not limited to the vulnerabilities that cannot be reproduced even after repeated communication with the vulnerability auditor.
3. Unexploitable or harmless reports, including but not limited to hoax CSRF (no real impact on users), local denial-of-service that cannot affect others, Self-XSS, PDF XSS, non-sensitiveinformation leak (Intranet IP, domain name), mail bomb, etc.
4. No practical source code leakage.
5. The security problem in the non-Ugreen module of the hardware product, or the defect of the hardware itself.
6. Security issues that Ugreen proactively discloses or have been disclosed externally.
7. Security issues on Products, apps or WEB applications that are no longer maintained.
8.Vulnerabilities that Ugreen is able to self-validate internally known and have been fixed.
9. Denial of service caused by permissions of third-party Android
components.
Any information provided to Ugreen about vulnerabilities in NAS products, including all information in product vulnerability reports
Information that you transfer will be owned and used by Ugreen.
Ugreen reserves the right to modify this policy at any time.
A Ugreen Group Limited (doravante referida como “Nós” ou “Ugreen”), como fabricante de produtos NAS, atribui grande importância à segurança dos seus próprios produtos e negócios, e reconhece a importância da privacidade e da segurança dos dados. O tratamento de cada vulnerabilidade de segurança e a melhoria da segurança empresarial não podem ser separados da cooperação conjunta de todas as partes.Se descobrir ou acreditar ter descoberto uma potencial vulnerabilidade de segurança na utilização dos Serviços NAS, encorajamo-lo a divulgar a sua descoberta o mais rapidamente possível, de acordo com esta Política de Divulgação de Vulnerabilidades. Comprometemo-nos a ter pessoal dedicado para acompanhar, analisar e tratar os problemas relatados por cada investigador, e responderemos em tempo útil.
1. Feedback e Processo de Tratamento de Vulnerabilidades
[Feedback de Vulnerabilidades]
Se acreditar que os produtos NAS possuem vulnerabilidades ou incidentes de segurança que precisam ser reportados, preencha o seguinte formulário de relatório de vulnerabilidades.
[Processo de Tratamento de Vulnerabilidades]
Passo 1: O investigador deve fornecer informações detalhadas sobre a vulnerabilidade.
Passo 2: A Ugreen verifica e confirma as informações recebidas sobre a vulnerabilidade e procede à avaliação.
Passo 3: Corrigir a vulnerabilidade e verificar a reparação dos produtos NAS.
Passo 4: Lançar uma nova versão do produto NAS para atualização.
Passo 5: Responder ao investigador com os resultados do processamento.
Passo 6: Monitorizar a estabilidade do produto NAS após a atualização.
[Fase de Revisão de Vulnerabilidades]
1. O relatório será confirmado no prazo de 1 dia útil após o recebimento e será realizada uma avaliação inicial.
2. Em até 3 dias úteis, a avaliação será concluída e a vulnerabilidade será corrigida ou será desenvolvido um plano de remediação.
[Fase de Correção & Conclusão de Vulnerabilidades]
1. Vulnerabilidades críticas serão corrigidas no prazo de 3 dias úteis após a conclusão da avaliação.
2. Vulnerabilidades de alto risco serão corrigidas no prazo de 7 dias úteis após a conclusão da avaliação.
3. Vulnerabilidades de risco médio serão corrigidas no prazo de 30 dias úteis após a conclusão da avaliação.
4. Vulnerabilidades de baixo risco serão corrigidas no prazo de 60 dias úteis após a conclusão da avaliação.
Determinadas vulnerabilidades estão sujeitas a limitações ambientais ou de hardware, e o prazo final de reparação será definido de acordo com a situação real.
Um boletim de segurança emergencial separado será emitido para vulnerabilidades graves ou de impacto significativo.
2. Critérios de Classificação de Vulnerabilidades
De acordo com o grau de gravidade, as vulnerabilidades são classificadas em quatro níveis: risco extremo, alto risco, risco médio e baixo risco.Quando recebemos um relatório de vulnerabilidade, seguimos uma série de etapas para resolvê-lo internamente, com referência à ISO/IEC 30111. Todas as vulnerabilidades relatadas são pontuadas de acordo com os critérios do Common Vulnerability Scoring System (CVSS 3.1).
[Vulnerabilidades de Risco Extremo]
1. Acesso remoto direto a permissões do sistema (permissões de servidor, permissões de cliente, dispositivos inteligentes), incluindo mas não se limitando a: execução arbitrária de código, execução arbitrária de comandos, upload e utilização de WebShell Trojans.
2. Defeitos de design lógico no sistema de negócios central, incluindo mas não se limitando a: alteração de senha de qualquer conta sem restrições de proteção, login em qualquer conta, etc.
3. Vulnerabilidades que conduzem diretamente a graves fugas de informação no sistema de negócios online, incluindo mas não se limitando a vulnerabilidades de injeção SQL na base de dados central.
4. Terminal móvel: vulnerabilidade de execução remota de código que pode afetar diretamente um grande número de utilizadores sem interação.
5. Lado do dispositivo: acesso remoto a permissões de execução do dispositivo (como download de dados de outros utilizadores NAS, acesso remoto a dispositivos, etc.) no ambiente da Internet, existindo vulnerabilidade de execução remota de comandos sem interação.
【 [Vulnerabilidades de Alto Risco]】
1. Vulnerabilidades que levam diretamente ao vazamento de informações sensíveis em servidores online, incluindo mas não se limitando a: vazamento de código-fonte de sistemas centrais, download de ficheiros de log sensíveis do servidor, etc.
2. Vulnerabilidades que permitem ao sistema central de negócios realizar todas as funções utilizando a identidade de outros, incluindo operações não autorizadas importantes ou sensíveis.
3. Acesso não autorizado à plataforma de gestão e utilização de funções de administrador, incluindo mas não se limitando a: login com contas de administrador de fundo sensíveis. O nível de atividade da plataforma, a base de utilizadores, a importância funcional e a sensibilidade das informações do utilizador serão considerados como critérios de alto risco.
4. Vulnerabilidades de fuga de informação de alto risco, incluindo mas não se limitando a: fuga de dados sensíveis diretamente exploráveis, fuga que pode expor grandes quantidades de informações de identidade de utilizadores.
5. Vulnerabilidades SSRF com retorno que podem aceder à intranet da Ugreen.
6. Terminal móvel: aplicações de terceiros utilizam funções do cliente móvel em diferentes aplicações para realizar operações de alto risco (como leitura e escrita de ficheiros, leitura e escrita de SMS, leitura e escrita de dados do cliente), além de fugas de informações sensíveis de alto risco.
7. Dispositivo: obtenção de permissões de execução do dispositivo (como download de dados de outros utilizadores NAS ou acesso remoto ao dispositivo) a partir de fontes próximas ou LAN. Não existe vulnerabilidade de execução remota de comandos interativos neste contexto.
8. Dispositivo: vulnerabilidades que causam negação de serviço permanente em dispositivos de forma remota, incluindo mas não se limitando a ataques de negação de serviço remoto que tornam os dispositivos inutilizáveis (danificados de forma irreversível ou exigindo reescrita completa do sistema). Tais ataques não permitem contacto físico com os dispositivos e precisam ser facilmente replicáveis em lote.
【 [Vulnerabilidades de Risco Médio] 】
1. Fugas de informação comuns, incluindo mas não se limitando a: armazenamento de senhas em texto simples em clientes móveis, pacotes de código-fonte de servidor ou base de dados que contenham informações sensíveis, etc.
2. Defeitos de design lógico no sistema, como falhas de pagamento.
3. Vulnerabilidades causadas por falhas em mecanismos fracos de autenticação, incluindo mas não se limitando a: CAPTCHA facilmente quebrável, ausência de CAPTCHA em interfaces de login, etc.
4. Vulnerabilidade SSRF sem retorno.
5. Vulnerabilidades que requerem interação para obter informações de identidade do utilizador, incluindo mas não se limitando a: CSRF em operações sensíveis, XSS armazenado, sequestro JSONP de informações sensíveis, etc.
6. Vulnerabilidade de negação de serviço remota que pode desativar algumas funcionalidades de uma aplicação online (precisa ser comprovado que afeta outros utilizadores).
7. Vulnerabilidade que causa negação de serviço em dispositivos inteligentes. Por exemplo: Ataque de negação de serviço permanente iniciado localmente (dispositivo inutilizado permanentemente ou sistema operativo precisa ser reescrito).
Vulnerabilidade causada por ataques remotos (suspensão ou reinicialização remota), em que o ataque precisa ser capaz de se replicar rapidamente em lotes.
- Vulnerabilidade que permite que sistemas de negócios comuns usem a identidade de outras pessoas para realizar todas as operações funcionais além da sua autoridade.
【 [Vulnerabilidades de Baixo Risco] 】
1. Vulnerabilidades exploráveis em ataques de phishing, incluindo mas não se limitando a: redirecionamento de URL.
2. Pequenas falhas de design lógico.
3. Vulnerabilidades de pequena fuga de informação, incluindo mas não se limitando a: fuga de caminhos, ficheiros .git, conteúdos de logs de negócios do servidor.
4. Vulnerabilidades exploráveis para phishing ou hacking, incluindo mas não se limitando a: ajustes arbitrários de URL, vulnerabilidades de XSS refletido.
5. Terminal móvel: negação de serviço local (incluindo mas não se limitando a falhas causadas por permissões de componentes Android não pertencentes a terceiros), pequenas fugas de informação (afetando apenas utilizadores individuais).
6. Vulnerabilidade que faz com que um dispositivo negue temporariamente o serviço. Isto inclui, mas não se limita a, vulnerabilidades de ataque de negação temporária de serviço causadas por ataques locais (os dispositivos precisam ser restaurados às configurações de fábrica).
[Problemas Ignorados]
1. Problemas de bug não relacionados com segurança, incluindo mas não se limitando a: abertura lenta de páginas web, formatação desorganizada, etc.
2. Relatórios demasiado simples que não podem ser reproduzidos de acordo com o conteúdo submetido, incluindo vulnerabilidades que não podem ser reproduzidas mesmo após comunicação repetida com o auditor.
3. Relatórios inexplotáveis ou inofensivos, incluindo mas não se limitando a: CSRF fictício (sem impacto real), negação de serviço local sem impacto em outros, Self-XSS, PDF XSS, fuga de informações não sensíveis (IP da intranet, nome de domínio), bomba de emails, etc.
4. Vazamento de código-fonte sem relevância prática.
5. Problemas de segurança em módulos não-Ugreen de produtos de hardware ou defeitos no próprio hardware.
6. Problemas de segurança já divulgados proativamente pela Ugreen ou externamente.
7. Problemas de segurança em produtos, apps ou aplicações web que já não são mantidos.
8. Vulnerabilidades que a Ugreen pode validar internamente e já corrigiu.
9. Negação de serviço causada por permissões de componentes Android de terceiros.
components.
Quaisquer informações fornecidas à Ugreen sobre vulnerabilidades em produtos NAS, incluindo todas as informações em relatórios de vulnerabilidade de produto, serão propriedade da Ugreen e utilizadas por ela.
A Ugreen reserva-se o direito de modificar esta política a qualquer momento.