Operační systémy
Odměny do částky
30 000 USD
Sem patří systémy Synology DiskStation Manager, Synology Router Manager a Synology BeeStation.
Software a služby C2 Cloud
Odměny do částky
10 000 USD
Sem patří softwarové balíčky vyvinuté společností Synology, související mobilní aplikace a služby C2 Cloud.
Webové služby
Odměny do částky
5 000 USD
Sem patří všechny významné webové služby Synology.
- Jste prvním výzkumníkem, který tuto zranitelnost nahlásil
- Potvrdí se, že nahlášená zranitelnost představuje ověřitelný, reprodukovatelný a platný problém se zabezpečením
- Vaše hlášení splňuje podmínky programu odměn
Obraťte se na nás pomocí kontaktního formuláře programu odměn.
Při odesílání hlášení o chybách do společnosti Synology zašifrujte odesílané informace pomocí tohoto klíče PGP.
Přiložte podrobné ověření konceptu (PoC) a přesvědčte se, že je možné nahlašované problémy reprodukovat.
Popis by měl být stručný. Například odkaz na stručné ověření konceptu se cení více než video s vysvětlením důsledků problému SSRF.
- Obsahovat srozumitelný a podrobný popis způsobu, jakým lze zranitelnost reprodukovat, v angličtině
- Demonstrovat, jakým způsobem tato zranitelnost ovlivňuje produkty nebo webové služby Synology, a uvést, které verze a platformy jsou touto zranitelností postiženy
- Uvést potenciální škody, které by nahlášená zranitelnost mohla způsobit
Odměna | Způsobilá hlášení mohou být odměněna částkou až 30 000 USD.* |
---|---|
Produkty spadající do rozsahu | Přijímáme pouze hlášení týkající se oficiálně vydaných verzí. DiskStation Manager (DSM)
Synology Router Manager (SRM)
Firmware pro zařízení Synology Camera
Synology BeeStation
|
Předpisy a omezení | Tento program je omezen výhradně na zranitelnosti zabezpečení nalezené v produktech a službách společnosti Synology. Akce, které by mohly potenciálně poškodit nebo nepříznivě ovlivnit servery nebo data společnosti Synology, jsou přísně zakázány. Testování zranitelnosti nesmí porušovat místní ani tchajwanské zákony. V rámci tohoto programu nebudou přijaty žádná hlášení o zranitelnostech, jestliže budou popisovat nebo zahrnovat:
|
**Maximální odměna za zranitelnosti v operačním systému SRM_LAN je 5000 USD.
***Maximální odměna za zranitelnosti ve firmwaru kamery je 10 000 USD.
Odměna | Způsobilá hlášení mohou být odměněna částkou až 10 000 USD.* |
---|---|
Produkty spadající do rozsahu | Přijímáme pouze hlášení týkající se oficiálně vydaných verzí. Balíčky Softwarové balíčky vyvinuté společností Synology Počítačoví klienti Aplikace pro systémy Windows, macOS a Linux vyvinuté společností Synology Mobilní aplikace Mobilní aplikace pro systémy Android a iOS vyvinuté společností Synology Účet Synology
Služby C2 Domény *.c2.synology.com |
Předpisy a omezení | Tento program je omezen výhradně na zranitelnosti zabezpečení nalezené v produktech a službách společnosti Synology. Akce, které by mohly potenciálně poškodit nebo nepříznivě ovlivnit servery nebo data společnosti Synology, jsou přísně zakázány. Testování zranitelnosti nesmí porušovat místní ani tchajwanské zákony. V rámci tohoto programu nebudou přijaty žádná hlášení o zranitelnostech, jestliže budou popisovat nebo zahrnovat:
|
Odměna | Způsobilá hlášení mohou být odměněna částkou až 5 000 USD.* |
---|---|
Produkty spadající do rozsahu | Do rozsahu spadají následující domény (včetně poddomén): *.synology.com Následující domény (včetně poddomén) do rozsahu nespadají: openstack-ci-logs.synology.com, router.synology.com Společnost Synology si vyhrazuje právo tento seznam kdykoliv a bez předchozího upozornění měnit. |
Předpisy a omezení | Tento program je omezen výhradně na zranitelnosti zabezpečení nalezené v produktech a službách společnosti Synology. Akce, které by mohly potenciálně poškodit nebo nepříznivě ovlivnit servery nebo data společnosti Synology, jsou přísně zakázány. Testování zranitelnosti nesmí porušovat místní ani tchajwanské zákony. V rámci tohoto programu nebudou přijaty žádná hlášení o zranitelnostech, jestliže budou popisovat nebo zahrnovat:
|
Operační systémy | Software a služby C2 Cloud | Webové služby | |
---|---|---|---|
Zero-click pre-auth RCE | 30 000 USD | 10 000 USD | 5 000 USD |
Zero-click pre-auth arbitrary file r/w | 9 000 USD | 4 600 USD | 2 400 USD |
Operační systémy | Software a služby C2 Cloud | Webové služby | |
---|---|---|---|
1-click pre-auth RCE | 8 000 USD | 4 000 USD | 2 000 USD |
Zero-click normal-user-auth RCE | 7 500 USD | 3 900 USD | 1 900 USD |
Zero-click normal-user-auth arbitrary file r/w | 6 500 USD | 3 400 USD | 1 700 USD |
Zero-click pre-auth RCE (AC:H) | 6 500 USD | 3 400 USD | 1 700 USD |
1-click pre-auth RCE (AC:H) | 5 000 USD | 2 500 USD | 1 325 USD |
pre-auth SQL injection | 3 800 USD | 1 950 USD | 1 025 USD |
1-click normal-user-auth RCE (AC:H) | 2 600 USD | 1 350 USD | 725 USD |
pre-auth stored XSS | 2 600 USD | 1 350 USD | 725 USD |
Operační systémy | Software a služby C2 Cloud | Webové služby | |
---|---|---|---|
normal-user-auth stored XSS | 1 350 USD | 733 USD | 417 USD |
normal-user-auth SQL injection | 1 200 USD | 607 USD | 353 USD |
admin-auth vulnerabilities | 100 USD | 100 USD | 100 USD |
- Od 1. října 2024 budou odměny za odhalení zranitelnosti ověřování na úrovni správce nastaveny na 100 USD.
- Pokud u počítačových klientů obsahuje vektor CVSS (Common Vulnerability Scoring System) cokoli z níže uvedeného, odměna je nastavena na 100 USD:
- AV:L
- AV:A
- AV:N/AC:H
Poznámky:
- Přestože existují vodítka týkající se odměn, bude každé nahlášení zpracováno a důkladně vyhodnoceno individuálně. Při hodnocení se berou v úvahu různé faktory, mimo jiné rozsah podrobně popsaný v části o odměnách. Společnost Synology si vyhrazuje právo na konečnou interpretaci výše odměn.
- V případě problémů klasifikovaných jako problémy s nízkou závažností nebo náměty se budou vydávat pouze potvrzení.
- David Oxley
- Abdelali Chekiel
- Sahil Shah (https://www.linkedin.com/in/sahilshah3276/)
- @sunscan@infosec.exchange
- Mehedi Hasan (SecMiners BD) https://www.facebook.com/polapain.1337/
- Philipp Tekeser-Glasz from HvS-Consulting GmbH (https://www.hvs-consulting.de)
- Jesse Walker (IBM NS1 Connect)
- Aron Binoy (https://www.instagram.com/aron_binoy)