Zahlreiche Sicherheitslücken in der Google App Engine

Eine Gruppe polnischer Sicherheitsforscher berichtet von der Entdeckung einer Vielzahl von Sicherheitslücken in der Google App Engine, von denen einige es einem Angreifer ermöglichen könnten, aus der Java-Sandbox zu entkommen.

Die Experten von Security Explorations teilten mit, dass sie mehr als 30 Schwachstellen in der App-Engine gefunden haben, von denen einige die Ausführung von Code und Ausbrüche aus der Sandbox ermöglichen würden. Die Google App Engine ist eine Plattform, die es Nutzern ermöglicht, eigene Anwendungen in der Cloud-Infrastruktur von Google zu starten. Die Plattform erlaubt es den Usern, in unterschiedlichen Programmiersprachen geschriebene Anwendungen auszuführen, Python und Java eingeschlossen, und sie befreit die Kunden von der Notwendigkeit, Server zu unterhalten, sowie von anderen lästigen Aufgaben.

In einer auf Full Disclosure geposteten Erklärung listet Adam Gowdiak von Security Explorations eine Reihe von Problemen auf, die sein Unternehmen in der GAE gefunden hat:

  • Wir konnten die Weißen Listen der JRE-Klassen umgehen / sind vollständig aus der Sandbox Java VM entkommen (17 vollständige PoC für die Umgehung der Sandbox, die insgesamt 22 Sicherheitslücken ausnutzen),
  • wir waren in der Lage, Maschinencode auszuführen (gibt die Möglichkeit, willkürliche Bibliotheken / Systemaufrufe zu starten),
  • wir erhielten Zugriff auf Dateien (binäre / Klassendateien) inklusive der Sandbox JRE, die die Monsterdatei libjavaruntime.so (468416808 Byte) enthält,
  • wir extrahierten DWARF-Informationen aus den Binärdateien (Typeninformationen usw.),
  • wir extrahierten PROTOBUF-Definitionen aus den Java-Klassen (Beschreibungen von 57 Services in 542 .proto-Dateien),
  • wir extrahierten PROTOBUF-Definitionen aus den Binärdateien (Beschreibungen von 8 Services in 68 .proto-Dateien),
  • wir haben all das analysiert und Vieles über die GAE-Umgebung für die Java-Sandbox herausgefunden (unter anderem).

Noch während die Forscher ihre Tests der Plattform durchführten, blockierte Google den Test-Account, den Security Explorations erstellt hatte.

„Ohne jeden Zweifel ist das ein Ausfall der operativen Sicherheit an unserem Ende (in dieser Woche haben wir ein bisschen aggressiver in der dem zugrunde liegenden Betriebssystem gestochert/verschiedene Systemaufrufe gestartet, um die Natur des Fehlercodes 202, der Sandbox selbst usw. besser zu verstehen.)“, schreibt Gowdiak in der Erklärung.

Das Unternehmen Security Exploration hat seine Untersuchungen der App Engine noch nicht abgeschlossen und Gowdiak hat Google aufgerufen, den Test-Account wiederherzustellen, damit die Arbeit fertiggestellt werden kann.

„Unter Berücksichtigung des lehrreichen Charakters der in der Java-Sandbox der GAE gefundenen Sicherheitslücken sowie der Wertschätzung, die Google unabhängiger Forschungsarbeit auf dem Gebiet der Sicherheit / aller Arten von Sandbox-Ausbrüchen allem Anschein nach entgegenbringt, hoffen wir, dass das Unternehmen uns die Möglichkeit gewährt, unsere Arbeit zu Ende zu bringen und unseren Test-Account in der GAE wiederherstellt“, schreibt er.

In einer E-Mail erklärten Vertreter von Security Explorations, dass sie auf die Wiederherstellung des Test-Accounts hofften, und darauf, ihr Projekt abschließen zu können.

„Uns wurde gesagt, dass sich irgendjemand der Sache annehmen wird“, erklärte das Unternehmen und fügte hinzu, dass die Veröffentlichung der vollständigen Beschreibung durchaus geplant sei. „Wir würden sehr gern so vorgehen, wie wir es normalerweise immer tun, wenn es um unsere nicht kommerzielle Forschungsarbeit geht. Leider ist der Status des Projekts zum gegenwärtigen Zeitpunkt nicht bekannt. Wir müssten einfach noch ein wenig in der realen GAE-Umgebung arbeiten, um eine qualitative hochwertige technische Analyse erstellen und alle Codes veröffentlichen zu können.“

Quelle:        Threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.