Исследователи констатировали крайне низкий уровень защиты облачной платформы Google App Engine, обнаружив в ней свыше 30 уязвимостей. В настоящее время Google изучает предоставленные аналитиками данные. Польская компания Security Explorations обнаружила свыше 30 уязвимостей в облачной платформе Google App Engine (GAE), позволяющей клиентам арендовать серверы Google для разработки и запуска веб-приложений. Уязвимости позволяют покинуть «песочницу» (изолированную среду) виртуальной машины Java, внутри которой запускаются приложения, и исполнить произвольный код в среде более низкого уровня, рассказал глава и основатель Security Explorations Адам Говдяк (Adam Gowdiak). Он не уточнил, насколько серьезную опасность представляют данные уязвимости, и не стал делиться техническими деталями, предпочтя в первую очередь уведомить Google. После того как исследователи смогли покинуть «песочницу» виртуальной машины Java, они получили возможность не только запуска произвольного кода на более низком уровне, но и доступ к системным файлам виртуальной машины. Они принялись изучать способы выхода из «песочницы» операционной системы, то есть еще на уровень ниже. Но сделать этого не удалось — аккаунт был заблокирован корпорацией Google. Говдяк считает, что, по всей видимости, Google посчитала их активность подозрительной и решила заблокировать доступ. Между тем, аналитики успели изучить технологию изоляции среды Java и ряд внутренних механизмов и протоколов платформы Google App Engine. «Мы изучили массу инструментов и многое узнали о среде», — сообщи он. «К сожалению, мы не смогли завершить наше исследование, потому что наш тестовый аккаунт был заблокирован», — добавил эксперт. В настоящее время Google изучает результаты, полученные аналитиками, сообщил Говдяк. Помимо Java, платформа GAE поддерживает приложения, написанные на Python, PHP и Go. Говдяк отметил, что их исследование касалось только виртуальной машины Java, поэтому фактическое количество содержащихся в платформе уязвимостей может быть гораздо больше. Согласно правилам программы Google Vulnerability Reward, компания Security Explorations может получить приз в размере $20 тыс. Эти средства предназначены тому, кто сможет взломать GAE и выполнить произвольный код удаленно. По словам Говдяка, они не преследовали цель получить эту награду. В Google пока никак не прокомментировали заявление Security Explorations о более чем 30 уязвимостях в ее облачной платформе. Google App Engine была запущена в 2008 г. Она представляет собой продукт вида «платформа как услуга» (Platform as a Service — PaaS). Конкурирующими на рынке решениями являются Amazon Elastic Compute Cloud (Amazon EC2) и Microsoft Azure.
Источник