Разработчик инфраструктурного ПО для Enterprise-бизнеса Orion soft представил результаты комплексного анализа защищенности системы управления секретами StarVault. По итогам пентестов, проведенных специалистами компании Cicada8, разработчики исправили две ошибки безопасности, исключив вероятность обхода механизма контроля доступа и провокации отказа серверов при настройке подключения к базам данных. Об этом CNews сообщили представители Orion soft.

StarVault — система управления секретами, альтернатива решению HashiCorp Vault. StarVault позволяет безопасно хранить чувствительную информацию с защищенным доступом: секреты для микросервисов Kubernetes, сертификаты, ключи доступа к API и другие секреты, в том числе в зашифрованном виде. Решение обеспечивает также возможность управления пользователями и политиками, удобное создание, управление и ротацию сертификатов, функции OIDC-провайдера для интеграции с внешними системами и облачными сервисами за счет сквозной аутентификации.

Пентесты StarVault проводились весной 2026 г. в рамках программы комплексного анализа защищенности экосистемы продуктов Orion soft. Эксперты Cicada8 искали уязвимости и возможные ошибки, которые могли бы обеспечить потенциальному хакеру доступ к компонентам платформы, конфиденциальным данным пользователей и другим секретам.

Тестирование проводилось методом серого ящика (grey box). Специалисты имитировали действия опытного злоумышленника, который уже обладает знаниями об архитектуре, внутренней структуре и основных информационных потоках платформы, учетной записью в ней, имеет VPN-туннель для доступа к стенду и высокий технический уровень.

«Выбранный метод тестирования позволяет имитировать действия высокомотивированных хакеров, которые долго собирают информацию об инфраструктуре компании и намереваются нанести ей как можно больший ущерб. За последние годы на рынке произошло несколько резонансных кибератак, которые совершались именно по такому принципу. Мы повышаем безопасность системы, ориентируясь на актуальный уровень угроз», — сказал Максим Медведев, лидер направления безопасной разработки и комплексного анализа защищенности экосистемы Orion soft.

В ходе работ Cicada8 использовала сканеры сетевых портов, коммерческие сканеры уязвимостей ведущих зарубежных и отечественных вендоров, сканеры уязвимостей? с открытым исходным кодом, инструмент анализа HTTP-трафика Burp Suite Professional и расширения для него, инструменты для перебора доступных веб-директорий, для перебора и фазинга веб-параметров запросов, для поиска и автоматизации эксплуатации SQL-инъекций и другие.

Тестирование проводилось в 11 этапов, в ходе которых специалисты собирали информацию о системе, определяли конфигурацию сети и приложений, используемые HTTP-методы, проверяли обработку расширений файлов, а также старые резервные копий и файлы без ссылок на наличие чувствительной информации, тестировали разрешения на доступ к файлам с целью выявления несанкционированного доступа, проверяли сценарии захвата поддомена и другие.

В том числе в ходе анализа эксперты Cicada8 провели обширное тестирование контроля входных данных, в процессе которого проводили XSS-атаки и различные типы инъекций, включая SQL, XML, SSTI, LFI/RFI, SSRF, LDAP, SSI, Xpath, IMAP/SMTP, инъекции кода, инъекции команд ОС, инъекции в строке форматирования, в заголовке Host и др. Также эксперты проверяли безопасность действий на стороне пользователя: выполняли сценарии DOM-XSS, выполнения JavaScript, перехвата клика, HTML-, JS- и CSS-инъекции, CORS, WebSockets.

По итогам тестирования команда Orion soft выпустила патч StarVault 1.4.1, усилив механизм контроля доступа и отказоустойчивость системы. В хранилище «ключ-значение» скорректировали обработку пользовательского пути при проверке политик доступа, исключив возможность использования обходных конструкций при формировании путей доступа. Это защищает инфраструктуру от эскалации доступа к директориям и компрометации метаданных секретов. Также в системе реализовали ограничение, которое не позволяет высокопривилегированным пользователям с доступом к настройке подключений к базам данных инициировать отказ в обслуживании сервера.

«Система управления секретами должна соответствовать строгим требованиям к защищенности, так как непосредственно работает с чувствительной информацией бизнеса. Внешние пентесты позволяют нам проводить более глубокие проверки системы и эффективнее повышать ее безопасность. Кроме того, сейчас мы в процессе получения сертификации ФСТЭК, которая подтвердит надежность StarVault для использования в инфраструктурах с КИИ», — сказал Алишер Камалов, лидер продукта StarVault Orion soft.

Короткая ссылка