Система управления секретами StarVault усилила контроль доступа и отказоустойчивость по итогам пентестов CICADA8
Разработчик инфраструктурного ПО для Enterprise-бизнеса Orion soft представил результаты комплексного анализа защищенности системы управления секретами StarVault. По итогам пентестов, проведенных специалистами компании CICADA8, разработчики исправили две ошибки безопасности, исключив вероятность обхода механизма контроля доступа и провокации отказа серверов при настройке подключения к базам данных.
Пентесты StarVault проводились весной 2026 года в рамках программы комплексного анализа защищенности экосистемы продуктов Orion soft. Эксперты CICADA8 искали уязвимости и возможные ошибки, которые могли бы обеспечить потенциальному хакеру доступ к компонентам платформы, конфиденциальным данным пользователей и другим секретам.
Тестирование проводилось методом серого ящика (grey box). Специалисты имитировали действия опытного злоумышленника, который уже обладает знаниями об архитектуре, внутренней структуре и основных информационных потоках платформы, учетной записью в ней, имеет VPN-туннель для доступа к стенду и высокий технический уровень.
«Выбранный метод тестирования позволяет имитировать действия высокомотивированных хакеров, которые долго собирают информацию об инфраструктуре компании и намереваются нанести ей как можно больший ущерб. За последние годы на рынке произошло несколько резонансных кибератак, которые совершались именно по такому принципу. Мы повышаем безопасность системы, ориентируясь на актуальный уровень угроз», — объясняет Максим Медведев, лидер направления безопасной разработки и комплексного анализа защищенности экосистемы Orion soft.
В ходе работ CICADA8 использовала сканеры сетевых портов, коммерческие сканеры уязвимостей ведущих зарубежных и отечественных вендоров, сканеры уязвимостей̆ с открытым исходным кодом, инструмент анализа HTTP-трафика Burp Suite Professional и расширения для него, инструменты для перебора доступных веб-директорий, для перебора и фазинга веб-параметров запросов, для поиска и автоматизации эксплуатации SQL-инъекций и другие.
Тестирование проводилось в 11 этапов, в ходе которых специалисты собирали информацию о системе, определяли конфигурацию сети и приложений, используемые HTTP-методы, проверяли обработку расширений файлов, а также старые резервные копий и файлы без ссылок на наличие чувствительной информации, тестировали разрешения на доступ к файлам с целью выявления несанкционированного доступа, проверяли сценарии захвата поддомена и другие.
В том числе в ходе анализа эксперты CICADA8 провели обширное тестирование контроля входных данных, в процессе которого проводили XSS-атаки и различные типы инъекций, включая SQL, XML, SSTI, LFI/RFI, SSRF, LDAP, SSI, Xpath, IMAP/SMTP, инъекции кода, инъекции команд ОС, инъекции в строке форматирования, в заголовке Host и другие. Также эксперты проверяли безопасность действий на стороне пользователя: выполняли сценарии DOM-XSS, выполнения JavaScript, перехвата клика, HTML-, JS- и CSS-инъекции, CORS, WebSockets.
По итогам тестирования команда Orion soft выпустила патч StarVault 1.4.1. Команда усилила механизмы контроля доступа, а также повысила отказоустойчивость системы.
В хранилище «ключ-значение» скорректировали обработку пользовательского пути при проверке политик доступа, исключив возможность использования обходных конструкций при формировании путей доступа. Это Также в системе реализовали ограничение, которое не позволяет высокопривилегированным пользователям с доступом к настройке подключений к базам данных инициировать отказ в обслуживании сервера.
«Система управления секретами должна соответствовать строгим требованиям к защищенности, так как непосредственно работает с чувствительной информацией бизнеса. Внешние пентесты позволяют нам проводить более глубокие проверки системы и эффективнее повышать ее безопасность. Кроме того, сейчас мы в процессе получения сертификации ФСТЭК, которая подтвердит надежность StarVault для использования в инфраструктурах с КИИ», — добавляет Алишер Камалов, лидер продукта StarVault Orion soft.
