Plusieurs vulnérabilités détectées dans Google App Engine

Un groupe de chercheurs polonais spécialisé en sécurité a annoncé qu’il avait découvert de nombreuses vulnérabilités dans Google App Engine. Certaines d’entre elles permettent à l’individu malintentionné de quitter le bac à sable Java.

Les chercheurs de Security Explorations ont signalé qu’ils avaient identifié 30 vulnérabilités dans App Engine, dont des vulnérabilités qui permettent d’exécuter du code et de quitter le bac à sable. Google App Engine est la plateforme qui permet aux utilisateurs d’exécuter leurs propres applications dans l’infrastructure Cloud de Google. La plateforme permet aux utilisateurs d’exécuter des applications écrites dans différents langages dont Python et Java. Les clients n’ont pas à se soucier de la maintenance des serveurs et des autres détails.

Dans le communiqué publié via une diffusion Full Disclosure, Adam Gowdiak de Security Explorations a dressé la liste des problèmes que sa société avait identifiés dans GAE :

  • Nous avons contourné des listes blanches de classes JRE/nous sommes sortis complètement du bac à sable Java VM (17 preuves de concept pour le contournement du bac à sable via l’exploitation de 22 vulnérabilités).
  • Nous avons réussi à exécuter un code natif (possibilité pour l’exécution d’une bibliothèque aléatoire/d’appels système).
  • Nous avons pu accéder à des fichiers (binaires/classe) dont le bac à sable JRE qui contient le l’énorme fichier binaire libjavaruntime.so (468 416 808 octets).
  • Nous avons extrait les informations DWARF des fichiers binaires (informations relatives aux types, etc.).
  • Nous avons extrait la définition PROTOBUF des classes Java (description de 57 services dans 542 fichiers .proto).
  • Nous avons extrait la définition PROTOBUF des fichiers binaires (description de 8 services dans 68 fichiers .proto).
  • Nous avons analysé tout cela et obtenu de nombreuses informations sur l’environnement GAE pour le bac à sable Java (en plus du reste).

Alors que les chercheurs réalisaient des tests sur la plateforme, Google a bloqué le compte test créé par Security Explorations.

"Ceci est vraisemblablement un échec de la sécurité de nos opérations (cette semaine, nous avons été un peu plus agressif dans notre exploration du système d’exploitation sous-jacent du bac à sable et nous avons lancé différents appels système afin de mieux comprendre la nature du code de l’erreur 202, du bac à sable, etc.)" a écritš Adam Gowdiak dans le communiqué.

L’équipe de Security Exploration n’a pas terminé ses travaux sur App Engine et Adam Gowdiak a demandé à Google de rétablir le compte de test afin de pouvoir finaliser le projet.

"Si l’on tient compte du caractère éducatif des vulnérabilités identifiées dans le bac à sable de GAE et du fait que Google semble apprécier les études indépendantes dans le domaine de la sécurité et de tous les types de sortie du bac à sable, nous espérons que Google nous donnera la possibilité de terminer nos travaux en rétablissant notre compte sur GAE" peut-on lire dans le communiqué.

Les représentants de Security Explorations ont signalé dans le message qu’ils espéraient que le compte soit rétabli afin de pouvoir compléter le projet.

"On nous a dit que quelqu’un allait s’en occuper. Nous aimerions pouvoir publier la description complète à un moment donné. Nous aimerions bien pouvoir agir comme nous le faisons toujours lorsqu’il s’agit de nos études non commerciales sur la sécurité. Malheureusement, le sort du projet est incertain à ce stade. Nous voulons simplement pouvoir travailler un peu plus dans l’environnement réel de GAE afin de pouvoir réaliser une analyse technique de qualité et publier tous les codes."

Source :        Threatpost

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *