Orion soft обновила StarVault после пентестов CICADA8

Разработчик инфраструктурного ПО Orion soft закрыл две критические уязвимости в системе StarVault по итогам весенних пентестов. Специалисты компании CICADA8 имитировали действия хакеров, имеющих доступ к архитектуре платформы, что позволило устранить ошибки в механизмах контроля доступа и повысить отказоустойчивость серверов при работе с базами данных.

Тестирование проводилось по методу «серого ящика», когда атакующий обладает данными об устройстве системы. Эксперты CICADA8 использовали арсенал инструментов для поиска SQL-инъекций, XSS-атак и попыток несанкционированного доступа. В течение 11 этапов проверки анализировались конфигурации сети, права доступа к файлам и корректность обработки HTTP-запросов. По результатам проверки компания выпустила патч версии 1.4.1. Разработчики скорректировали обработку пользовательских путей в хранилище секретов, закрыв возможность обхода политик безопасности. Дополнительно внедрены ограничения для высокопривилегированных аккаунтов, чтобы исключить риск преднамеренного отказа в обслуживании сервера при настройке подключений. По словам лидера продукта Алишера Камалова, сейчас команда готовит систему к сертификации ФСТЭК для работы в составе критической информационной инфраструктуры.