Сотни уязвимостей были обнаружены в открытом ПО для виртуализации

Тестирование проводили специалисты "Базис" совместно с сотрудниками ИСП РАН и испытательной лаборатории "Фобос-НТ" на стенде созданном ФСТЭК. В ходе тестов были обнаружены 191 уязвимость в коде решений для вирутализации с открытым кодом. Эксперты отмечают, что это крайне важный шаг для осознанного строительства защищенной инфраструктуры.

В рамках испытаний тестировались такие компоненты с открытым исходным кодом как nginx, ActiveMQ Artemis, Apache Directory, libvirt-exporter, QEMU. Как отмечают аналитики, особое внимание было уделено libvirt, так как сбой в работе этой библиотеки может нанести ущерб инфраструктуре и привести к утечке конфиденциальной информации.

Перечисленные компоненты используются вендорами по всему миру - libvirt предоставляет API для управления виртуальными машинами, nginx помогает балансировать нагрузку и т.д. - и от качества их работы зависит множество российских и иностранных решений для работы с виртуальными средами.

Тестирование проводили специалисты "Базис" совместно с сотрудниками ИСП РАН и испытательной лаборатории "Фобос-НТ". Исследования проводились на инфраструктуре Центра исследований безопасности системного ПО, созданного ФСТЭК России. К решению задач по разметке и созданию целей для фаззинга были привлечены студенты профильных специальностей МГТУ им. Н.Э. Баумана и Чувашского государственного университета. Результатом работы стало обнаружение и последующее устранение 191 дефекта в коде, некоторые из которых были расценены как уязвимости.

Статический анализ выявил 178 дефектов в коде тестируемых компонентов. По результатам исследования было разработано 86 исправлений, которые были приняты в основные ветки разработки соответствующих проектов. Большая часть срабатываний относилась к популярному брокеру сообщений ActiveMQ Artemis и серверу каталогов Apache Directory.

Фаззинг-тестирование выявило 13 дефектов в коде - 5 в Apache Directory LDAP API и 8 в библиотеке libvirt. Последние были найдены в ходе проверки функций обработки инструкций, которые потенциально могут быть получены из конфигурационных файлов при создании виртуальной машины.

Позитивно оценивает проведенное исследование бизнес-консультант по информационной безопасности Positive Technologies Алексей Лукацкий. "Это обязанность разработчика, который хочет использовать свои решения в КИИ или попасть в реестр Минцифры", - подчеркнул он.

Степень управляемости ПО, находящегося в реестре Минцифры, является одним из основных вопросов, отмечает Дмитрий Комиссаров, основатель "МойОфис" и фонда "Стриго Кэпитал".

"Сегодня в реестре примерно по 40-50 Линуксов и систем виртуализации. Если считать, что вся инфраструктура РФ постепенно будет построена на ПО, находящемся в реестре, то автоматически встает несколько вопросов: можем ли мы доверять этому ПО? Можем ли исправлять уязвимости в этом ПО? Можем ли мы модифицировать/добавлять функциональность в это ПО?

Сколько из этих 40-50 имеет контрибьюторов libvirt, qemu, LDAP, очередей сообщений? Думаю, что 3-4. А остальные живут на авось. Исходит из того, что ничего не случится, что никто не будет атаковать, что просто никто не допустит ошибку. А мир не таков, к сожалению. Поэтому инициатива Базиса и ИСП очень важна - это шаг к осознанности в том, на базе чего мы строим ИТ в масштабах страны", - говорит Комиссаров.

Без такого тестирования невозможны современная безопасная разработка и сертификация, уверен Дмитрий Сорокин, технический директор "Базис".

"Такой подход делает наши решения более качественными и защищенными, а также вносит вклад в развитие открытых инструментов виртуализации, которые используются различными вендорами по всему миру. Реализовать его было бы сложно без партнеров, сотрудничество с ИСП РАН и НТЦ "Фобос-НТ" позволяет "Базису" выстраивать качественные процессы безопасной разработки и тестирования инструментов виртуализации, повысить уровень зрелости экосистемы. В результате наши продукты не только сертифицированы ФСТЭК России, но и в максимально короткие сроки проходят инспекционный контроль", - поясняет Сорокин.