Infos

Plusieurs vulnérabilités détectées dans Google App Engine

Un groupe de chercheurs polonais spécialisé en sécurité a annoncé qu’il avait découvert de nombreuses vulnérabilités dans Google App Engine. Certaines d’entre elles permettent à l’individu malintentionné de quitter le bac à sable Java.

Les chercheurs de Security Explorations ont signalé qu’ils avaient identifié 30 vulnérabilités dans App Engine, dont des vulnérabilités qui permettent d’exécuter du code et de quitter le bac à sable. Google App Engine est la plateforme qui permet aux utilisateurs d’exécuter leurs propres applications dans l’infrastructure Cloud de Google. La plateforme permet aux utilisateurs d’exécuter des applications écrites dans différents langages dont Python et Java. Les clients n’ont pas à se soucier de la maintenance des serveurs et des autres détails.

Dans le communiqué publié via une diffusion Full Disclosure, Adam Gowdiak de Security Explorations a dressé la liste des problèmes que sa société avait identifiés dans GAE :

  • Nous avons contourné des listes blanches de classes JRE/nous sommes sortis complètement du bac à sable Java VM (17 preuves de concept pour le contournement du bac à sable via l’exploitation de 22 vulnérabilités).
  • Nous avons réussi à exécuter un code natif (possibilité pour l’exécution d’une bibliothèque aléatoire/d’appels système).
  • Nous avons pu accéder à des fichiers (binaires/classe) dont le bac à sable JRE qui contient le l’énorme fichier binaire libjavaruntime.so (468 416 808 octets).
  • Nous avons extrait les informations DWARF des fichiers binaires (informations relatives aux types, etc.).
  • Nous avons extrait la définition PROTOBUF des classes Java (description de 57 services dans 542 fichiers .proto).
  • Nous avons extrait la définition PROTOBUF des fichiers binaires (description de 8 services dans 68 fichiers .proto).
  • Nous avons analysé tout cela et obtenu de nombreuses informations sur l’environnement GAE pour le bac à sable Java (en plus du reste).

Alors que les chercheurs réalisaient des tests sur la plateforme, Google a bloqué le compte test créé par Security Explorations.

"Ceci est vraisemblablement un échec de la sécurité de nos opérations (cette semaine, nous avons été un peu plus agressif dans notre exploration du système d’exploitation sous-jacent du bac à sable et nous avons lancé différents appels système afin de mieux comprendre la nature du code de l’erreur 202, du bac à sable, etc.)" a écritš Adam Gowdiak dans le communiqué.

L’équipe de Security Exploration n’a pas terminé ses travaux sur App Engine et Adam Gowdiak a demandé à Google de rétablir le compte de test afin de pouvoir finaliser le projet.

"Si l’on tient compte du caractère éducatif des vulnérabilités identifiées dans le bac à sable de GAE et du fait que Google semble apprécier les études indépendantes dans le domaine de la sécurité et de tous les types de sortie du bac à sable, nous espérons que Google nous donnera la possibilité de terminer nos travaux en rétablissant notre compte sur GAE" peut-on lire dans le communiqué.

Les représentants de Security Explorations ont signalé dans le message qu’ils espéraient que le compte soit rétabli afin de pouvoir compléter le projet.

"On nous a dit que quelqu’un allait s’en occuper. Nous aimerions pouvoir publier la description complète à un moment donné. Nous aimerions bien pouvoir agir comme nous le faisons toujours lorsqu’il s’agit de nos études non commerciales sur la sécurité. Malheureusement, le sort du projet est incertain à ce stade. Nous voulons simplement pouvoir travailler un peu plus dans l’environnement réel de GAE afin de pouvoir réaliser une analyse technique de qualité et publier tous les codes."

Source :        Threatpost

Plusieurs vulnérabilités détectées dans Google App Engine

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception