Brøt seg inn i Google App Engine

Forskere advarer om en mengde kritiske hull.

Brøt seg inn i Google App Engine
Google App Engine har en rekke alvorlige sårbarheter, ifølge den anerkjente sikkerhetsforskeren Adam Gowdiak. Bilde:

Google App Engine har en lang rekke alvorlige sårbarheter.

Det hevder polske sikkerhetsselskapet Security Explorations, som redegjorde for funnet på seclist.org i helgen.

Blant de mer enn 30 sårbarhetene forskerne fant er det 22 som skal ha latt seg utnytte til å bryte ut av Java-sandkassen og kjøre vilkårlig kode.

App Engine er en skybasert applikasjonsserver, en såkalt platform-as-a-service (PaaS) som lar kunder rulle ut og kjøre skalerbare applikasjoner i Googles infrastruktur.

Løsningen støtter en rekke ulike språk deriblant Java, Python, PHP og søkegigantens eget programmeringsspråk Go.

Appliksjonene kjører på virtuelle servere i Googles maskinklynge, og det selskapet oppgir er et trygt kjøremiljø beskyttet av sandkasse-teknologi.

Adam Gowdiak i Security Explorations ramser i kunngjøringen opp noen av forholdene de har avdekket så langt:

- we bypassed GAE whitelisting of JRE classes / achieved complete Java VM

security sandbox escape (17 full sandbox bypass PoC codes exploiting 22

issues in total),

- we achieved native code execution (ability to issue arbitrary library

/ system calls),

- we gained access to the files (binary / classes) comprising the JRE

sandbox, that includes the monster libjavaruntime.so binary (468416808

bytes in total),

- we extracted DWARF info from binary files (type information and such),

- we extracted PROTOBUF definitions from Java classes (description of 57

services in 542 .proto files),

- we extracted PROTOBUF definition from binary files (description of 8

services in 68 .proto files),

- we analyzed the above stuff and learned a lot about the GAE environment

for Java sandbox (among others).

Sperret konto

Forsøkene på å lære mer ble avbrutt lørdag, da forskerne ble kastet ut av Google App Engine, noe forskerne selv påtar seg skylden for.

– Det er utvilsomt går egen skyld. Sist uke snoket vi litt for aggressivt rundt i det underliggende operativsystemet / sandkassen og foretok ulike systemkall for å lære mer om feilkodene vi oppdaget, selve sandkassen og så videre, skriver administrerende direktør Adam Gowdiak i Security Explorations.

Adam Gowdiak er en sikkerhetsekspert det er all grunn til å ta på alvor. Polakken har gjennom flere år avdekket utallige sårbarheter i Java.

Han har sørget for å overlevere detaljene om sårbarhetene de har funnet til Google, som nå vil ettergå opplysningene.

Google sier til Eweek at de tar alle rapporter om sårbarheter i produktene deres svært alvorlig.

– Vi undersøker nå meldingen Security Explorations sendte ut på Full Disclosures epostliste. Vi har ingen grunn til å tro at kunders data og applikasjoner er i fare, sier talspersonen.

Les mer om: