Skip to Content
Go back
BAS-IP / Política de seguridad

Política de divulgación de vulnerabilidades

Información General

BAS-IP sigue las prácticas líderes de la industria en la gestión y respuesta a las vulnerabilidades de seguridad descubiertas en nuestros productos. Es imposible garantizar que los productos y servicios proporcionados por nuestra empresa estén completamente libres de vulnerabilidades. Esta no es una característica única, sino una condición común para todo el software y servicios, pero podemos garantizar que en todas las etapas de desarrollo, haremos esfuerzos para identificar y eliminar posibles vulnerabilidades, reduciendo así el riesgo asociado con la implementación de productos y servicios BAS-IP en entornos de clientes.

BAS-IP reconoce que algunos protocolos y servicios de red estándar pueden tener debilidades inherentes que pueden ser explotadas. Aunque BAS-IP no es responsable de estos protocolos y servicios, proporcionamos recomendaciones para reducir los riesgos asociados con los productos, el software y los servicios BAS-IP en forma de varias guías.

Qué Cubre la Política

La política de gestión de vulnerabilidades descrita en este documento se aplica a todos los productos, software y servicios bajo la marca BAS-IP.

Qué No Cubre la Política

Algunas vulnerabilidades no están cubiertas por la política de gestión de vulnerabilidades de BAS-IP. Por favor, no envíe informes de vulnerabilidad que no estén cubiertos por la política de gestión de vulnerabilidades a [email protected]:

  • Vulnerabilidades que requieren altos privilegios y/o ingeniería social que se activan/ejecutan con acceso root/administrador y/o requieren interacción compleja del usuario
  • Toma de control de subdominio (Subdomain takeover), por ejemplo, obtener el control sobre un nodo que apunta a un servicio actualmente sin usar
  • Configuraciones de usuario incorrectas que se pueden prevenir siguiendo las guías de BAS-IP
  • Vulnerabilidades en contenido o aplicaciones creadas por usuarios o socios de terceros, como aplicaciones que se pueden descargar y ejecutar en dispositivos BAS-IP
  • Vulnerabilidades de Falsificación de Solicitudes entre Sitios (CSRF) o Scripts entre Sitios (XSS) que engañan al usuario para que visite un sitio web malicioso o haga clic en un enlace disfrazado al acceder a la interfaz web de los dispositivos BAS-IP
  • Vulnerabilidades open-source de terceros registradas con un identificador CVE, ubicadas en componentes de software o paquetes utilizados en productos, software o servicios BAS-IP. Ejemplos comunes de dichos componentes de software incluyen el kernel de Linux, OpenSSL, AOSP y otros
  • Falta de encabezados de seguridad HTTP(S), como X-Frame-Options
  • Informes de vulnerabilidad generados por escáneres de seguridad de red de terceros
  • Productos/software/servicios no compatibles
  • Pruebas de Denegación de Servicio de Red (DoS o DDoS) u otras pruebas que interrumpan el acceso al sistema o a los datos o causen daños a los mismos

Obligaciones

BAS-IP valora y fomenta los esfuerzos de los investigadores en la identificación y notificación de vulnerabilidades en los productos, software y servicios de BAS-IP. Siguiendo el proceso de divulgación responsable, el equipo de seguridad de productos de BAS-IP, en la medida de sus posibilidades, respetará los intereses de los investigadores a través de la cooperación mutua y la transparencia durante todo el proceso de divulgación.

La Compañía BAS-IP espera que los investigadores no divulguen las vulnerabilidades hasta la expiración del período de 90 días o una fecha acordada mutuamente y que realicen la investigación de vulnerabilidades dentro de los límites legales, sin causar daño, revelar confidencialidad o poner en peligro la seguridad de la Compañía BAS-IP, sus socios y clientes.

Gestión de Vulnerabilidades (Vulnerability Management)

La Compañía BAS-IP evalúa las vulnerabilidades utilizando el conocido sistema de clasificación CVSS.

En cuanto a las vulnerabilidades de componentes de código abierto, BAS-IP puede evaluar la vulnerabilidad en función de su importancia en el contexto de cómo BAS-IP recomienda implementar sus productos, software y servicios. Las consultas de seguridad generalmente se proporcionan solo para vulnerabilidades específicas de BAS-IP.

Distribución de prioridades cuando una vulnerabilidad ha sido evaluada y está sujeta a remediación:

  • CVSS 3.1 high/critical (7.0 – 10.0)
    BAS-IP se esfuerza por remediar la vulnerabilidad antes o dentro de 4 semanas después de la divulgación externa. Para los componentes open-source, el plazo suele ser más largo, ya que BAS-IP depende de terceros para obtener información, correcciones y/o verificación
  • CVSS 3.1 medium (4.0 – 6.9)
    BAS-IP tiene como objetivo remediar la vulnerabilidad, típicamente dentro de 2-3 meses
  • CVSS 3.1 low (0.1 – 3.9)
    BAS-IP planea remediar la vulnerabilidad en el próximo lanzamiento programado
  • Software/servicios compatibles
    La etapa de soporte del software/servicios BAS-IP se determina dentro del proceso general del ciclo de vida del software. Los software/servicios BAS-IP generalmente son compatibles durante 1 año después del anuncio del fin de vida útil (end-of-life).

Notificación de una Vulnerabilidad

BAS-IP trabaja constantemente para identificar y mitigar los riesgos asociados con las vulnerabilidades en nuestros productos. Sin embargo, si ha descubierto una vulnerabilidad del sistema de seguridad relacionada con un producto, software o servicio de BAS-IP, le recomendamos encarecidamente que informe el problema de inmediato. La notificación oportuna de las vulnerabilidades del sistema de seguridad es crucial para reducir la probabilidad de su uso práctico. Las vulnerabilidades de seguridad relacionadas con componentes de software open-source deben ser notificadas directamente a la organización responsable.

Se alienta a los usuarios finales, socios, proveedores, grupos de la industria e investigadores independientes que hayan descubierto una posible vulnerabilidad a informar sus hallazgos a [email protected] o completando un formulario anónimo.

El informe enviado debe incluir:

  • Información técnica sobre la potencial vulnerabilidad
  • Pasos para la reproducción
  • Impacto y gravedad estimados en caso de explotación según CVSS 3.1
  • La propia política de divulgación de vulnerabilidades del investigador, si la hay

Puede esperar lo siguiente de la Compañía BAS-IP:

  • Tiempo para la primera respuesta — dentro de 3 días hábiles después de recibir el mensaje inicial
  • Tiempo de procesamiento (desde el momento de recibir la primera respuesta) — dentro de 10 días hábiles
  • Seremos lo más transparentes posible sobre los pasos que tomamos en el proceso de remediación, incluidas las preguntas y problemas que puedan retrasar la solución
  • Mantendremos un diálogo abierto para discutir problemas

Divulgación de Vulnerabilidades

Una vez que el informe de una vulnerabilidad descubierta ha sido examinado y confirmado como genuino, BAS-IP comienza el proceso de divulgación responsable. BAS-IP se esfuerza por colaborar con el investigador con respecto a detalles adicionales, como la evaluación CVSS 3.1, el contenido de la recomendación de seguridad y/o comunicados de prensa (si corresponde), y la fecha de divulgación externa.

Después de un acuerdo entre la Compañía BAS-IP y el investigador, la vulnerabilidad se divulgará para fines externos mediante la publicación por parte de la Compañía BAS-IP de recomendaciones de seguridad y/o un comunicado de prensa.

Historial de Cambios del Documento

VersiónFechaDescripción
1.015.02.2024Primera versión