Une trentaine de failles découvertes sur Google App Engine
Des chercheurs en sécurité exploitent 17 d’entre elles pour exécuter du code natif sur la plateforme Cloud

Des chercheurs de Security Explorations ont déclaré samedi dernier qu’ils avaient découvert plusieurs problèmes de sécurité dans Google App Engine. Le nombre total de ces problèmes s’élèverait à une trentaine au total, selon eux.

Google App Engine est un service qui permet de créer et d'exécuter des applications sur l'infrastructure de Google Cloud Plateform. Cette plateforme est réputée pour être facile à utiliser et offre l’avantage de se mettre à l'échelle des besoins de l’utilisateur en termes de la bande passante et de stockage de données. Mais, il semblerait que la machine virtuelle Java de cette plateforme contiendrait des failles que les chercheurs ont pu utiliser pour faire ce qu’on appelle un « sandbox escape ».

Pour faire simple, le moteur de App Engine procède à l’exécution de l’application de l’utilisateur dans un environnement sandbox, l’empêchant d’exécuter certains types d’opérations, comme l’accès à des API systèmes par exemple, ce qui permettrait de détourner le fonctionnement de la plateforme si des hackers arrivent à les utiliser. Cependant, les chercheurs de Security Explorations ont pu, en exploitant des failles de la plateforme, accéder à l’ensemble des classes de la JRE alors que normalement, seulement une partie devrait être accessible aux utilisateurs. Cet accès total leur a permis de faire des appels systèmes, exécuter du code natif et accéder à des fichiers de définitions de classes et des fichiers binaires qu’ils ont pu exploiter pour comprendre le fonctionnement interne de l’environnement App Engine.

Au total 17 des 22 failles trouvées ont pu être exploitées avant que Google ferme l’accès au compte App Engine utilisé par les chercheurs. Ces derniers estiment que le nombre total de failles s’élèverait à 30 et espèrent que Google leur débloquera l’accès à leur compte pour qu’ils puissent finir leur recherche et finaliser leur rapport de sécurité.

Source : Security Explorations Mailing List

Et vous ?

Utilisez-vous App Engine ? Qu’en pensez-vous ?