취약점 공개 정책

Ugreen Group Limited(이하 "당사" 또는 "Ugreen")NAS 제품 제조업체로서, 자사 제품 및 사업의 보안을 매우 중요하게 생각하며, 개인정보 보호 및 데이터 보안의 중요성을 인식하고 있습니다. 각각의 보안 취약점을 처리하고 기업의 보안을 강화하는 일은 모든 당사자의 공동 협력과 분리될 수 없습니다. NAS 서비스 사용 시 보안 취약점의 가능성을 발견하거나 발견했다고 믿었을 경우, 본 취약점 공개 정책에 따라 가능한 한 빨리 해당 사실을 당사에 공개해 주시기 바랍니다. 당사는 각 신고자가 신고한 문제점에 대해 전담 인력을 배치하여 후속 조치를 취하고 분석하여 처리하며, 제때에 답변해 드릴 것을 약속드립니다.

1. 취약점 피드백 및 처리 프로세스

[취약점 피드백]

NAS 제품에 보고해야 할 취약점이나 보안 사고가 있다고 생각되시면 다음 취약점 보고서 양식 작성해 주시기 바랍니다.

[취약점 처리 프로세스]

1단계: 보고자는 취약점에 대한 자세한 정보를 제공해야 합니다.

2단계: Ugreen은 수신된 취약점 정보를 확인, 검증하고 평가합니다.

3단계: NAS 제품의 취약점을 수정하고 복구를 검증합니다.

4단계: 업데이트를 위해 NAS 제품의 새로운 버전을 출시합니다.

5단계: 처리 결과를 보고자에게 답변합니다.

6단계: 업데이트 후 NAS 제품의 안정성을 모니터링합니다.

[취약점 검토 단계]

1. 보고서는 접수 후 근무일 기준 1일 이내에 확인되고, 초기 평가가 이뤄집니다.

2. 평가는 근무일 기준 3일 이내에 완료되고 취약점이 수정되거나 개선 계획이 수립됩니다.

[취약점 수정 및 완료 단계]

1. 최고위험 취약점은 평가 완료 후 근무일 기준 3일 이내에 수정됩니다.

2. 고위험 취약점은 평가 완료 후 근무일 기준 7일 이내에 수정됩니다.

3. 중위험 취약점은 평가 완료 후 근무일 기준 30일 이내에 수정됩니다.

4. 저위험 취약점은 평가 완료 후 근무일 기준 60일 이내에 수정됩니다.

일부 취약점은 환경이나 하드웨어 제한의 영향을 받으며, 최종 복구 시간은 실제 상황에 따라 달라집니다.

심각하거나 상당한 영향이 있는 취약점에 대해서는 별도의 비상 보안 공지 사항이 발행됩니다.

2. 취약점 평가 기준

취약점의 피해 정도에 따라 최고위험, 고위험, 중위험, 저위험의 네 가지 수준으로 구분됩니다. 취약점 보고 접수 후 ISO/IEC 30111을 참조하여 내부적으로 이를 해결하기 위한 일련의 조치를 취합니다. 보고된 모든 취약점은 CVSS 3.1 기준에 따라 평가됩니다.

[최고위험 취약점]

1. 시스템 권한(서버 권한, 클라이언트 권한, 스마트 기기) 취약점에 대한 원격 직접 접근, 임의 코드 실행, 임의 명령 실행, WebShell 트로이 목마 업로드 및 활용 등을 포함하되 이에 국한되지 않습니다.

2. 주요 비즈니스 시스템에는 논리 설계 결함이 있는데, 여기에는 보호 제한 없이 계정 암호를 수정하거나 계정 로그인을 하는 것 등이 포함되지만 이에 국한되지 않습니다.

3. 이것은 주요 DBSQL 주입 취약점을 포함하되 이에 국한되지 않는 온라인 비즈니스 시스템의 심각한 정보 유출 취약점으로 직접 이어집니다.

4. 모바일 단말기: 상호작용 없이 다수의 사용자에게 직접 영향을 미칠 수 있는 원격 코드 실행 취약점입니다.

5. 장치 측: 인터넷 환경에서 장치 실행 권한(: 다른 NAS 사용자 데이터 다운로드, 장치에 대한 원격 액세스 등)에 대한 원격 액세스가 있는 경우 인터넷 환경에서는 대화형 원격 명령 실행 취약점이 존재하지 않습니다.

[고위험 취약점]

1. 온라인 서버에서 민감한 정보가 유출되는 데 직접적으로 이어지는 취약점에는 주요 시스템 소스 코드 유출, 서버에 민감한 로그 파일 다운로드 등이 포함되지만 이에 국한되지 않습니다.

2. 주요 비즈니스 시스템은 타인의 신원을 이용하여 모든 기능을 수행할 수 있는 취약점이 있으며, 주요 비즈니스 시스템의 중요하거나 민감한 무단 운영 취약점이 있습니다.

3. 민감한 백그라운드 관리자 계정 로그인, 관련 플랫폼의 활동, 사용자 기반, 기능적 중요성, 사용자 정보 민감성 포함하되 이에 국한되지 않는 관리 플랫폼에 대한 무단 접근 및 관리자 기능 사용은 고위험 취약점 평가 기준으로 간주됩니다.

4. 고위험 정보 유출 취약점. 직접적으로 악용될 수 있는 민감한 데이터 유출을 포함하되 이에 국한되지 않고, 대량의 사용자 신원 정보 유출로 이어질 수 있는 유출 취약점도 포함됩니다.

5. Ugreen 인트라넷에 접근할 수 있는 에코가 있는 SSRF 취약점.

6. 모바일 단말기: 타사 애플리케이션은 애플리케이션 전반의 모바일 클라이언트 기능을 사용하여 고위험 작업(파일 읽기 및 쓰기, SMS 읽기 및 쓰기, 클라이언트 데이터 읽기 및 쓰기 등)과 고위험 민감한 정보 유출을 수행합니다.

7. 장치: 근거리 소스 또는 LAN에서 장치 실행 권한(: 다른 NAS 사용자 데이터 다운로드 또는 장치에 원격으로 액세스)을 가져옵니다. 근거리 소스나 LAN에는 대화형 원격 명령 실행 취약점이 없습니다.

8. 장치: 장치의 영구적인 서비스 거부를 원격으로 유발하는 취약점에는 시스템 장치에 대한 원격 서비스 거부 공격(장치를 더 이상 사용할 수 없거나, 완전 영구적으로 손상되었거나, 전체 시스템을 다시 작성해야 하는 경우)이 포함되지만 이에 국한되지 않고, 공격은 장치와의 물리적 접촉을 허용하지 않으며, 공격을 일괄적으로 신속하게 복제해야 합니다.

[중위험 취약점]

1. 모바일 클라이언트 평문 저장 암호, 서버 또는 데이터베이스의 민감한 정보 소스 코드 압축 패키지 다운로드 등을 포함하되 이에 국한되지 않는 일반적인 정보 유출.

2. 시스템에 존재하는 논리 설계 결함(: 결제 허점 등)

3. 인증 절차의 취약한 설계로 인해 발생하는 보안 결함으로, 주요 기능의 CAPTCHA가 무차별 대입 공격에 취약하거나, 로그인 화면에 CAPTCHA가 누락된 경우 등이 해당됩니다.

4. 에코 없는 SSRF 취약점.

5. 민감한 작업을 위한 CSRF, 스토리지 XSS, 민감한 정보를 위한 JSONP 하이재킹 등을 포함하되 이에 국한되지 않고, 사용자 신원 정보를 얻기 위해 상호작용을 필요로 하는 취약점.

6. 온라인 애플리케이션의 일부 기능을 비활성화할 수 있는 원격 서비스 거부 취약점(다른 사용자에게 영향을 미친다는 것이 입증되어야 함).

7. 스마트 기기에서 서비스를 거부하게 만드는 취약점. 예를 들어, 시스템 장치가 로컬에서 유발된 영구적 서비스 거부(DoS) 공격을 받아 더 이상 사용이 불가능해지는 경우(장치가 완전히 영구적으로 손상되거나 운영체제를 전부 다시 설치해야 하는 경우), 원격 공격으로 인한 일시적 서비스 거부 취약성(원격에서 정지되거나 재시작되는 경우), 그리고 그러한 공격이 대량으로 빠르게 복제(전파)될 수 있어야 합니다.

타인의 신원(자격)을 이용하여 일반 비즈니스 시스템 사용자가 자신의 권한을 초과하는 모든 기능을 수행할 수 있도록 허용하는 취약점.

[저위험 취약점]

1. URL 리디렉션 취약점을 포함하되 이에 국한되지 않는 피싱 공격에서 악용될 수 있는 취약점.

2. 저위험 논리 설계 결함.

3. 경로 유출, .git 파일 유출, 서버 측 비즈니스 로그 내용 등을 포함하되 이에 국한되지 않는 사소한 정보 유출 취약점.

4. 임의의 URL 조정 및 반사형 XSS 취약점을 포함하되 이에 국한되지 않는 피싱이나 해킹에 악용될 수 있는 취약점.

5. 모바일 단말: 로컬 서비스 거부(타사가 아닌 Android 구성 요소 권한으로 인한 서비스 거부를 포함하되 이에 국한되지 않음), 사소한 정보 유출(개별 사용자에게만 영향을 미침)

6. 장치에서 일시적으로 서비스를 거부하게 만드는 취약점. 여기에는 로컬 공격으로 인한 일시적인 서비스 거부 공격 취약점(장치를 공장 설정으로 복원해야 함)이 포함되지만 이에 국한되지 않습니다.

[문제 무시]

1. 보안과 관련 없는 버그 문제(웹 페이지가 느리게 열리는 것, 형식이 지저분한 것 등)

2. 제출된 보고서는 내용이 지나치게 간단하여, 보고서 기재만으로는 재현할 수 없습니다. 여기에는 취약점 제보자와 수차례 소통하였음에도 불구하고 재현되지 않는 취약점이 포함되며, 이에 국한되지 않습니다.

3. 사용자에게 실제 영향을 미치지 않는 사기 CSRF, 다른 사람에게 영향을 미칠 수 없는 로컬 서비스 거부, 자체 XSS, PDF XSS, 민감하지 않은 정보 유출(인트라넷 IP, 도메인 이름), 폭탄 메일 등을 포함하되 이에 국한되지 않는 악용 불가능하거나 무해한 보고서.

4. 실질적인 소스 코드 유출이 없는 경우.

5. 하드웨어 제품의 Ugreen이 아닌 모듈에 보안 문제가 있거나, 하드웨어 자체의 결함이 있는 경우.

6. Ugreen이 사전에 공개했거나 외부에 공개된 보안 문제.

7. 더 이상 유지 관리되지 않는 제품, 앱 또는 웹 애플리케이션의 보안 문제.

8. Ugreen이 내부적으로 자체 검증을 통해 이미 인지하고 있으며, 수정이 완료된 취약점.

9. 타사 Android 구성 요소의 권한으로 인해 발생한 서비스 거부.

 

NAS 제품의 취약점에 관해 Ugreen에 제공된 모든 정보로, 제품 취약점 보고서의 모든 정보 포함

사용자가 전송한 정보는 Ugreen의 소유이며 당사에서 사용합니다.

Ugreen은 언제든지 이 정책을 수정할 권리가 있습니다.