Сотни уязвимостей были обнаружены в открытом ПО для виртуализации
В рамках испытаний тестировались такие компоненты с открытым исходным кодом как nginx, ActiveMQ Artemis, Apache Directory, libvirt-exporter, QEMU. Как отмечают аналитики, особое внимание было уделено libvirt, так как сбой в работе этой библиотеки может нанести ущерб инфраструктуре и привести к утечке конфиденциальной информации.
Перечисленные компоненты используются вендорами по всему миру - libvirt предоставляет API для управления виртуальными машинами, nginx помогает балансировать нагрузку и т.д. - и от качества их работы зависит множество российских и иностранных решений для работы с виртуальными средами.
Тестирование проводили специалисты "Базис" совместно с сотрудниками ИСП РАН и испытательной лаборатории "Фобос-НТ". Исследования проводились на инфраструктуре Центра исследований безопасности системного ПО, созданного ФСТЭК России. К решению задач по разметке и созданию целей для фаззинга были привлечены студенты профильных специальностей МГТУ им. Н.Э. Баумана и Чувашского государственного университета. Результатом работы стало обнаружение и последующее устранение 191 дефекта в коде, некоторые из которых были расценены как уязвимости.
Статический анализ выявил 178 дефектов в коде тестируемых компонентов. По результатам исследования было разработано 86 исправлений, которые были приняты в основные ветки разработки соответствующих проектов. Большая часть срабатываний относилась к популярному брокеру сообщений ActiveMQ Artemis и серверу каталогов Apache Directory.
Фаззинг-тестирование выявило 13 дефектов в коде - 5 в Apache Directory LDAP API и 8 в библиотеке libvirt. Последние были найдены в ходе проверки функций обработки инструкций, которые потенциально могут быть получены из конфигурационных файлов при создании виртуальной машины.
Позитивно оценивает проведенное исследование бизнес-консультант по информационной безопасности Positive Technologies Алексей Лукацкий. "Это обязанность разработчика, который хочет использовать свои решения в КИИ или попасть в реестр Минцифры", - подчеркнул он.
Степень управляемости ПО, находящегося в реестре Минцифры, является одним из основных вопросов, отмечает Дмитрий Комиссаров, основатель "МойОфис" и фонда "Стриго Кэпитал".
"Сегодня в реестре примерно по 40-50 Линуксов и систем виртуализации. Если считать, что вся инфраструктура РФ постепенно будет построена на ПО, находящемся в реестре, то автоматически встает несколько вопросов: можем ли мы доверять этому ПО? Можем ли исправлять уязвимости в этом ПО? Можем ли мы модифицировать/добавлять функциональность в это ПО?
Сколько из этих 40-50 имеет контрибьюторов libvirt, qemu, LDAP, очередей сообщений? Думаю, что 3-4. А остальные живут на авось. Исходит из того, что ничего не случится, что никто не будет атаковать, что просто никто не допустит ошибку. А мир не таков, к сожалению. Поэтому инициатива Базиса и ИСП очень важна - это шаг к осознанности в том, на базе чего мы строим ИТ в масштабах страны", - говорит Комиссаров.
Без такого тестирования невозможны современная безопасная разработка и сертификация, уверен Дмитрий Сорокин, технический директор "Базис".
"Такой подход делает наши решения более качественными и защищенными, а также вносит вклад в развитие открытых инструментов виртуализации, которые используются различными вендорами по всему миру. Реализовать его было бы сложно без партнеров, сотрудничество с ИСП РАН и НТЦ "Фобос-НТ" позволяет "Базису" выстраивать качественные процессы безопасной разработки и тестирования инструментов виртуализации, повысить уровень зрелости экосистемы. В результате наши продукты не только сертифицированы ФСТЭК России, но и в максимально короткие сроки проходят инспекционный контроль", - поясняет Сорокин.