Orion soft рассказала о результатах проверки защищённости системы управления секретами StarVault. Пентесты проводили специалисты CICADA8, а по итогам тестирования разработчики исправили две ошибки безопасности, связанные с контролем доступа и устойчивостью сервера к отказу в обслуживании.
Проверки проходили весной 2026 года в рамках программы комплексного анализа защищённости продуктов Orion soft.
Эксперты CICADA8 искали уязвимости и потенциальные ошибки, которые могли бы помочь злоумышленнику получить доступ к компонентам платформы, пользовательским данным и другим секретам.
Тестирование проводилось по модели grey box — то есть специалисты работали как условный атакующий, который уже знает архитектуру системы, имеет учётную запись, VPN-доступ и достаточно высокий технический уровень. Такой сценарий ближе к реальным целевым атакам, где злоумышленники сначала долго изучают инфраструктуру, а уже потом пытаются её ломать.
Во время проверки использовались коммерческие и опенсорс-сканеры уязвимостей, Burp Suite Professional, инструменты фазинга, перебора директорий, проверки SQL-инъекций и другие специализированные средства.
Пентест разбили на 11 этапов. Специалисты анализировали сетевую конфигурацию, HTTP-методы, резервные копии, доступ к файлам, сценарии захвата поддоменов и обработку пользовательских данных.
Отдельно тестировали устойчивость к XSS и различным типам инъекций — SQL, XML, SSRF, LDAP, XPath, инъекциям команд ОС и другим техникам. Также проверялись сценарии на стороне клиента: DOM-XSS, внедрение JavaScript, clickjacking, CORS и WebSockets.
По итогам тестирования Orion soft выпустила патч StarVault 1.4.1. В частности, разработчики скорректировали обработку пользовательских путей в хранилище «ключ-значение», чтобы исключить обход механизмов контроля доступа через специальные конструкции в путях.
Кроме того, в системе добавили ограничение, которое не позволяет пользователям с высокими привилегиями при настройке подключений к базам данных инициировать отказ в обслуживании сервера.
В компании также сообщили, что сейчас StarVault проходит сертификацию ФСТЭК России для использования в инфраструктурах с КИИ.
