Свыше 30 уязвимостей найдено в облачной платформе Google

Безопасность Администратору B2BSecurity
, Текст: Сергей Попсулин
Исследователи констатировали крайне низкий уровень защиты облачной платформы Google App Engine, обнаружив в ней свыше 30 уязвимостей. В настоящее время Google изучает предоставленные аналитиками данные.

Польская компания Security Explorations обнаружила свыше 30 уязвимостей в облачной платформе Google App Engine (GAE), позволяющей клиентам арендовать серверы Google для разработки и запуска веб-приложений.

Уязвимости позволяют покинуть «песочницу» (изолированную среду) виртуальной машины Java, внутри которой запускаются приложения, и исполнить произвольный код в среде более низкого уровня, рассказал глава и основатель Security Explorations Адам Говдяк (Adam Gowdiak).

Он не уточнил, насколько серьезную опасность представляют данные уязвимости, и не стал делиться техническими деталями, предпочтя в первую очередь уведомить Google.

После того как исследователи смогли покинуть «песочницу» виртуальной машины Java, они получили возможность не только запуска произвольного кода на более низком уровне, но и доступ к системным файлам виртуальной машины.

Они принялись изучать способы выхода из «песочницы» операционной системы, то есть еще на уровень ниже. Но сделать этого не удалось — аккаунт был заблокирован корпорацией Google. Говдяк считает, что, по всей видимости, Google посчитала их активность подозрительной и решила заблокировать доступ.


Свыше 30 уязвимостей найдено в облачной платформе Google

Между тем, аналитики успели изучить технологию изоляции среды Java и ряд внутренних механизмов и протоколов платформы Google App Engine. «Мы изучили массу инструментов и многое узнали о среде», — сообщи он. «К сожалению, мы не смогли завершить наше исследование, потому что наш тестовый аккаунт был заблокирован», — добавил эксперт.

В настоящее время Google изучает результаты, полученные аналитиками, сообщил Говдяк.

Помимо Java, платформа GAE поддерживает приложения, написанные на Python, PHP и Go. Говдяк отметил, что их исследование касалось только виртуальной машины Java, поэтому фактическое количество содержащихся в платформе уязвимостей может быть гораздо больше.

Согласно правилам программы Google Vulnerability Reward, компания Security Explorations может получить приз в размере $20 тыс. Эти средства предназначены тому, кто сможет взломать GAE и выполнить произвольный код удаленно. По словам Говдяка, они не преследовали цель получить эту награду.

В Google пока никак не прокомментировали заявление Security Explorations о более чем 30 уязвимостях в ее облачной платформе.

Google App Engine была запущена в 2008 г. Она представляет собой продукт вида «платформа как услуга» (Platform as a Service — PaaS). Конкурирующими на рынке решениями являются Amazon Elastic Compute Cloud (Amazon EC2) и Microsoft Azure.