PT Sandbox

Программа Bug Bounty продукта PT Sandbox

Rewards are paid to individual entrepreneurs and self-employed persons

Latest changes

Program description

Программа Bug Bounty продукта PT Sandbox

Программа Bug Bounty продукта PT Sandbox направлена на выявление и подтверждение уязвимостей, которые могут привести к обходу механизмов детектирования вредоносного ПО, выполнению вредоносного кода вне изолированной среды, компрометации инфраструктуры песочницы, а также снижению эффективности защиты от целенаправленных атак.

PT Sandbox — это локально разворачиваемая песочница для анализа неизвестного и сложного вредоносного ПО, включая эксплойты нулевого дня, программы-вымогатели и целевые атаки. Продукт использует сочетание статического и поведенческого анализа, корреляционных правил, сетевых сенсоров, ML-алгоритмов и механизмов наблюдения за операционной системой. Уязвимости в PT Sandbox могут приводить к пропуску вредоносных объектов, нарушению изоляции среды анализа, а также компрометации компонентов системы и смежной инфраструктуры.

Ограничения

На момент запуска программы доступ к тестовым стендам продукта предоставляется ограниченно.
Расширенный доступ будет предоставлен позднее, по мере готовности инфраструктуры и процедур сопровождения.

Общие положения:

В рамках данной программы уязвимости классифицируются по уровням обхода, отражающим глубину и критичность воздействия на механизмы анализа и изоляции PT Sandbox.

Обход изоляции

Название уязвимости	Описание	Требования к вектору атаки
Побег из песочницы (Sandbox Escape)	Файл, отправленный на поведенческий анализ, меняет контекст исполнения и начинает выполнять код в хостовой ОС или на уровне гипервизора. Результатом обхода должна быть возможность выполнения произвольного кода на хостовой системе или нарушение её работоспособности.	Исследователь имеет возможность отправлять файлы на анализ извне любым поддерживаемым способом. Допускается ручной поведенческий анализ файлов в интерфейсе продукта.

Обход детектирования документов и форматов

Название уязвимости	Описание	Требования к вектору атаки
Пропуск вредоносного документа	Необнаруженное исполнение вредоносного кода в контексте пользователя с использованием документов популярных офисных приложений (MS Office, LibreOffice, PDF и др.). Допускается условное выполнение вредоносного поведения вне PT Sandbox.	Файл должен запускаться по клику пользователя, не требовать дополнительного ПО и предназначаться для поддерживаемой платформы и ОС.
Сокрытие активного элемента в офисном документе	Вредоносный элемент корректно реализует опасное поведение, но не обнаруживается статическим анализом PT Sandbox. Возможные техники включают OLE-объекты, макросы, DDE, ActiveX, JavaScript, OpenAction, внешние источники данных и надстройки Office.	Файл должен быть валидным документом, запускаться по клику и предназначаться для поддерживаемой платформы и ОС.
Сокрытие популярного формата от поведенческого анализа	Валидный исполняемый файл или документ ошибочно классифицируется как неактивный и не передаётся в виртуальную среду для анализа (например, EXE или офисный документ).	Файл должен предназначаться для поддерживаемой PT Sandbox платформы и ОС.

Частичный обход и уязвимости интерфейсов

Название уязвимости	Описание	Требования к вектору атаки
Пропуск вредоносного исполняемого файла	Необнаруженное исполнение вредоносного кода с использованием исполняемых файлов (EXE, ELF) в контексте пользователя. Допускается условное выполнение вредоносного поведения вне среды PT Sandbox.	Файл должен запускаться по клику пользователя, не требовать дополнительных условий и быть предназначен для поддерживаемой платформы и ОС.
Веб-интерфейс и API: обход авторизации	Уязвимости в интерфейсе и публичном API, включая обход авторизации, XSS на основе отправленного на анализ контента, небезопасную десериализацию и Path Traversal при загрузке файлов.	Исследователь может отправлять файлы через веб-интерфейс, Public API или почтовые интеграции, а также имеет сетевой доступ к доступным сервисам системы.

Примечание: Уязвимости, не ведущие к реальному риску (например, теоретические или без подтверждения эксплуатации), могут быть отклонены или оценены как «информационные» без денежного вознаграждения.

Вознаграждения

Размеры вознаграждений описаны в таблице ниже:

Уровень критичности	Размер выплаты
Критический	300 000 - 500 000 р.
Высокий	150 000 - 300 000 р.
Средний	50 000 - 150 000 р.
Низкий	0 - 50 000 р.

Вознаграждение может быть выплачено только за сценарии атак, воспроизводимые на инсталляциях официально поддерживаемой версии продукта со всеми доступными обновлениями. Отчеты о недостатках в снятых с поддержки версиях также принимаются, но выплата вознаграждения за такие уязвимости не гарантируется.

Уровень критичности уязвимости определяется в ходе триажа и подтверждения отчёта с учётом влияния на безопасность продукта.
Окончательное решение по уровню критичности уязвимости принимается командой безопасности продукта.

Требования к участникам

Участвовать в программе могут все заинтересованные исследователи в возрасте от 18 лет.
Исследователи в возрасте от 14 до 18 лет имеют право участвовать в программе только при наличии письменного согласия родителей или законного представителя.
Действующие сотрудники Positive Technologies и бывшие сотрудники, с момента увольнения которых прошло менее 3 лет, могут участвовать в программе, но не могут претендовать на вознаграждение.

Исследователям необходимо:

Соблюдать правила, которые устанавливает Positive Technologies в своей программе по раскрытию уязвимостей, а также правила платформы The Standoff 365 Bug Bounty.
Соблюдать правила конфиденциальности информации. Запрещено получать доступ к данным другого пользователя без его согласия, изменять и уничтожать их, а также раскрывать любую конфиденциальную информацию, случайным образом полученную в ходе поиска уязвимостей или их демонстрации. Преднамеренный доступ к этой информации запрещен и может быть признан незаконным.
Поддерживать общение с командой по безопасности, направлять ей отчеты о выявленных уязвимостях, оформленные согласно требованиям, и давать обратную связь, если у специалистов возникнут вопросы об отчете.
Не разглашать информацию об уязвимости. Право на публикацию информации о найденной уязвимости остается за Positive Technologies.
Раскрытие уязвимости допустимо только при наличии исправления и публично зарегистрированного идентификатора CVE/BDU.
Багхантер может изъявить желание о раскрытии отчета - PT обязуется запустить процесс согласования регистрации идентификатора уязвимости.

Вознаграждения за уязвимости

Positive Technologies не выплачивает вознаграждение:

за отчеты сканеров безопасности и других автоматизированных инструментов;
раскрытие несекретной информации (наименования ПО или его версии, технические параметры и метрики системы и пр.);
информацию об IP-адресах, DNS-записях и открытых портах;
проблемы и уязвимости, которые основаны на версии используемого продукта, без демонстрации их эксплуатации;
уязвимости, эксплуатацию которых блокируют СЗИ, без демонстрации обхода СЗИ;
отчеты о небезопасных шифрах SSL и TLS без демонстрации их эксплуатации;
отчеты об отсутствии SSL и других лучших практик (best current practices);
уязвимости, информацию о которых ранее передали другие участники конкурса (дубликаты отчетов);
уязвимости 0-day или 1-day, информация о которых получена командой по безопасности из открытых источников;
уязвимости к атаке перебором, если в отчете не описан метод, имеющий существенно более высокую эффективность, чем прямой перебор.

Launched 07:00

Edited 08:06

Program format

Vulnerabilities

Reward for vulnerabilities

by severity level

Critical

₽300K–500K

High

₽150K–300K

Medium

₽50K–150K

Low

₽0–50K

None

₽0–0

Excl. tax

Top hackers

Overall ranking

The ranking is still empty

Program statistics

₽0

Paid in total

₽0

Average payment

₽0

Paid in the last 90 days

Valid reports

Submitted reports

Description

Vulnerabilities

Ranking

Versions