Группа польских исследователей из компании Security Explorations провели тщательное исследование безопасности облачного хостинга Google App Engine. Они обнаружили более 30 уязвимостей. Ребята собирались продолжить дальше, но Google закрыла им тестовый аккаунт.
Среди найденных уязвимостей к настоящему моменту:
- Обход «белого списка» классов JRE в Google App Engine с полным выходом из песочницы Java VM (есть 17 эксплоитов PoC для 22 уязвимостей)
- Возможность исполнения нативного кода (произвольные вызовы к библиотеке или системные вызовы
- Доступ к файлам (бинарным / классам), включающим в себя песочницу JRE, в том числе монстрообразный бинарник libjavaruntime.so (468.416.808 байт )
- Из бинарных файлов и Java-классов извлечена информация DWARF и определения PROTOBUF
Руководитель хакерской группы, известный специалист Адам Говдяк (Adam Gowdiak), признаёт, что инцидент с закрытием тестового аккаунта случился частично по их вине. 6 декабря они особенно налегли на мощности GAE, проводя более агрессивные тесты, чем обычно.
Тем не менее, работа должна быть закончена. Исследователи просят восстановить справедливость и дать им ещё покопаться во внутренностях Google App Engine, чисто из академического интереса.
Они хотят проверить ещё несколько уязвимостей и некоторые новые идеи. После этого обещают составить отчёт с результатами исследования и отправить его разработчикам, как это делали в прошлом году после исследования Oracle Java Cloud Service.
