Orion Soft усилил защиту zVirt через багбаунти

Российский разработчик корпоративного ПО Orion Soft подвел промежуточные итоги участия в программе поиска уязвимостей Standoff Bug Bounty. В рамках проекта специалистам уже удалось выявить и устранить несколько некритических уязвимостей в системе виртуализации zVirt, что позволило усилить защищенность продукта. Об этом IT Speaker сообщили в компании.

Программа тестирования безопасности zVirt стартовала в закрытом режиме в ноябре 2024 года и была продлена. Основная цель – обнаружение потенциальных угроз, которые могут привести к получению прав суперпользователя, утечке данных или нарушению работы виртуальных машин.

zVirt, который представлен в виде русифицированного веб-интерфейса, используется для управления серверами виртуализации, хранилищами и кластерами. На сегодня продукт установлен на более чем 13 600 хостах по всей стране и входит в Реестр российского ПО, занимая лидирующие позиции в сегменте импортозамещения.

За время участия в программе Orion Soft получил 24 отчета от исследователей, 14 из которых находятся в обработке. Каждый отчет включал детальное описание уязвимости, затронутые компоненты системы, Proof of Concept и рекомендации по устранению.

«Защищенность – важнейший критерий зрелости ПО для виртуализации и одно из ключевых направлений развития zVirt. Мы вышли на Standoff Bug Bounty, чтобы повысить уровень безопасности продукта за счет обнаружения и исправления потенциальных уязвимостей, а также повысить уровень безопасности разработки. С ноября 2024 года белые хакеры обнаружили 10 уязвимостей. Среди них не было ни одной критической, и только две – высокого уровня. Мы уже исправили наиболее значимые уязвимости, в том числе в свежем релизе zVirt 4.4, и продолжаем закрывать оставшиеся. Использование нашего продукта стало еще безопаснее», – отметил руководитель направления технологических партнерств Orion Soft Александр Гавриленко.

Платформа Standoff Bug Bounty, запущенная в 2022 году, объединяет более 27 тысяч исследователей кибербезопасности. За последние полтора года количество участников выросло втрое, а число отчетов об уязвимостях – в пять раз. Общий объем выплат за три года превысил 274 млн рублей.

Ранее результаты исследования компании «Кибериспытание» показали, что 67% российских компаний уязвимы для взлома в течение суток, причем в большинстве случаев (более 60%) это может привести к остановке бизнеса. Эксперты «Кибериспытания» проверили 74 организации и выявили, что самый быстрый взлом произошел за 34 минуты.