Российский разработчик инфраструктурного ПО для Enterprise-бизнеса Orion soft поделился первыми результатами участия в багбаунти программе на платформе Standoff Bug Bounty. Компании уже удалось выявить и устранить ряд некритических уязвимостей в системе виртуализации zVirt. Программа позволила вендору не только повысить уровень защищенности продукта, но и продемонстрировать свою приверженность безопасности и проактивному подходу к минимизации киберрисков.
Orion soft начал тестировать безопасность системы виртуализации zVirt в закрытом режиме с ноября 2024 года, а теперь продлил свое участие в программе багбаунти. Ее основная цель — выявить уязвимости, которые могут привести к эскалации привилегий до уровня суперпользователя (root), нарушению конфиденциальности, целостности или доступности виртуальных машин и данных.
Русскоязычный веб-интерфейс системы zVirt позволяет управлять серверами виртуализации, хранилищами, кластерами и виртуальными машинами из единой консоли. Инсталляционная база zVirt по всей стране охватывает более чем 13 600 хостов. Продукт зарегистрирован в Реестре российского ПО и является лидером в части импортозамещения ПО для виртуализации: число его заказчиков превысило 430.
В период проведения программы на Standoff Bug Bounty компания получила от исследователей 24 отчета, 14 из которых уже находятся в работе. Каждый отчет содержал название уязвимости, затронутые ею версию и компоненты zVirt, Proof of Concept (PoC), описывающий шаги по воспроизведению бреши, описание возможного сценария атаки и рекомендации по устранению уязвимости.
«Защищенность — важнейший критерий зрелости ПО для виртуализации и одно из ключевых направлений развития zVirt, — сказал Александр Гавриленко, руководитель направления технологических партнерств Orion soft. — Мы вышли на Standoff Bug Bounty, чтобы повысить уровень безопасности продукта за счет обнаружения и исправления потенциальных уязвимостей, а также повысить уровень безопасности разработки. С ноября 2024 года белые хакеры обнаружили 10 уязвимостей. Среди них не было ни одной критической, и только две — высокого уровня. Мы уже исправили наиболее значимые уязвимости, в том числе в свежем релизе zVirt 4.4, и продолжаем закрывать оставшиеся. Использование нашего продукта стало еще безопаснее».
Standoff Bug Bounty запущена в мае 2022 года. С тех пор площадка привлекла свыше 27 тысяч исследователей кибербезопасности. За последние полтора года число белых хакеров на ней увеличилось более чем в три раза, а общее количество сданных отчетов — более чем в пять раз. Всего на платформе было опубликовано свыше 200 программ по поиску уязвимостей, а общий объем вознаграждений за три года составил более 274 млн рублей.
Источник: habr.com