Обнаружение и последующее устранение 191 дефекта в коде стало результатом очередного этапа тестирования таких компонентов с открытым исходным кодом, как nginx, ActiveMQ Artemis, Apache Directory, libvirt-exporter, QEMU.

Эти компоненты используются вендорами по всему миру: например, libvirt предоставляет API для управления виртуальными машинами, а nginx помогает балансировать нагрузку. От качества их работы зависит множество российских и иностранных решений для работы с виртуальными средами. Особое внимание было уделено libvirt – сбой в работе этой библиотеки может нанести ущерб инфраструктуре и привести к утечке конфиденциальной информации.

Основной упор во время испытаний исследователи сделали на разметке срабатываний статического анализатора Svace (разработан в ИСП РАН) и создании фаззинг-целей. Статический анализ выявил 178 дефектов в коде тестируемых компонентов. Изучив их, специалисты ИСП РАН и «Базис» разработали 86 исправлений, которые были приняты в основные ветки разработки соответствующих проектов. Большая часть срабатываний относилась к популярному брокеру сообщений ActiveMQ Artemis и серверу каталогов Apache Directory. Фаззинг-тестирование выявило еще 13 дефектов в коде – 5 в Apache Directory LDAP API и 8 в библиотеке libvirt. Все исправления были приняты в основные ветки проектов.

В рамках подготовки к тестированию для наиболее критичных компонентов открытого ПО, лежащих на поверхности атаки, были разработаны фаззинг-тесты. Их можно найти в соответствующих проектах на GitLab-портале (https://gitlab.community.ispras.ru/cc-portal/intro) Центра исследований безопасности системного ПО. В дальнейшем созданные сотрудниками ИСП РАН и «Базис» цели послужили исследованиям, которые специалисты «Фобос-НТ» выполняли на своих мощностях. Найденные ими дефекты также были учтены при обновлении компонентов с открытым исходным кодом в продуктах «Базис».

«Сотрудничество с ИСП РАН и НТЦ «Фобос-НТ» позволяет «Базису» выстраивать качественные процессы безопасной разработки и тестирования инструментов виртуализации, повысить уровень зрелости экосистемы. В результате наши продукты не только сертифицированы ФСТЭК России, но и в максимально короткие сроки проходят инспекционный контроль. В итоге наши заказчики могут быть уверены, что решения «Базиса» проверены, а созданная на их основе инфраструктура компании безопасна», – отметил Дмитрий Сорокин, технический директор компании «Базис».

Очередной этап тестирования и исследования кода проходил на инфраструктуре Центра исследований безопасности системного ПО, созданного ФСТЭК России на базе ИСП РАН. Работы по разметке и созданию целей для фаззинга выполнялись совместно с ИСП РАН, к решению этой задачи были привлечены студенты профильных специальностей МГТУ им. Н.Э. Баумана и ЧГУ им. И.Н.Ульянова.

Подробнее: https://www.ispras.ru/news/basis-isp-ras-fobos-nt/