Российский разработчик инфраструктурного ПО для enterprise-бизнеса Orion soft поделился первыми результатами участия в багбаунти-программе на платформе Standoff Bug Bounty. Компании уже удалось выявить и устранить ряд некритических уязвимостей в системе виртуализации zVirt. Программа позволила вендору не только повысить уровень защищенности продукта, но и продемонстрировать свою приверженность безопасности и проактивному подходу к минимизации киберрисков.
Orion soft начал тестировать безопасность системы виртуализации zVirt в закрытом режиме в ноябре 2024 года, а теперь продлил свое участие в программе багбаунти. Ее основная цель — выявить уязвимости, которые могут привести к эскалации привилегий до уровня суперпользователя (root), нарушению конфиденциальности, целостности или доступности виртуальных машин и данных.
Русскоязычный веб-интерфейс системы zVirt позволяет управлять серверами виртуализации, хранилищами, кластерами и виртуальными машинами из единой консоли. Инсталляционная база zVirt по всей стране охватывает более чем 13 600 хостов. Продукт зарегистрирован в реестре российского ПО и является лидером в части импортозамещения ПО для виртуализации: число его заказчиков превысило 430.
В период проведения программы на Standoff Bug Bounty компания получила от исследователей 24 отчета, 14 из которых уже находятся в работе. Каждый отчет содержал название уязвимости, данные о затронутых версиях и компонентах zVirt, Proof of Concept (PoC), описывающий шаги по воспроизведению бреши, описание возможного сценария атаки и рекомендации по устранению.
