Orion soft рассказал о результатах программы по поиску уязвимостей в zVirt

Российский разработчик инфраструктурного ПО для Enterprise-бизнеса Orion soft поделился первыми результатами участия в багбаунти программе на платформе Standoff Bug Bounty. Компании уже удалось выявить и устранить ряд некритических уязвимостей в системе виртуализации zVirt. Программа позволила вендору не только повысить уровень защищенности продукта, но и продемонстрировать свою приверженность безопасности и проактивному подходу к минимизации киберрисков.

Orion soft начал тестировать безопасность системы виртуализации zVirt в закрытом режиме с ноября 2024 года, а теперь продлил свое участие в программе багбаунти. Ее основная цель — выявить уязвимости, которые могут привести к эскалации привилегий до уровня суперпользователя (root), нарушению конфиденциальности, целостности или доступности виртуальных машин и данных.

Русскоязычный веб-интерфейс системы zVirt позволяет управлять серверами виртуализации, хранилищами, кластерами и виртуальными машинами из единой консоли. Инсталляционная база zVirt по всей стране охватывает более чем 13 600 хостов. Продукт зарегистрирован в Реестре российского ПО и является лидером в части импортозамещения ПО для виртуализации: число его заказчиков превысило 430.

В период проведения программы на Standoff Bug Bounty компания получила от исследователей 24 отчета. Каждый отчет содержал название уязвимости, затронутые ею версию и компоненты zVirt, Proof of Concept (PoC), описывающий шаги по воспроизведению бреши, описание возможного сценария атаки и рекомендации по устранению уязвимости.

«Защищенность — важнейший критерий зрелости ПО для виртуализации и одно из ключевых направлений развития zVirt, — сказалАлександр Гавриленко, руководитель направления технологических партнерств Orion soft.— Мы вышли