11 月 21 日，在小米 IoT 安全峰會上，騰訊安全玄武實驗室負責人于旸（花名：TK教主）在演講中透露，騰訊玄武實驗室最近向國家信息安全漏洞共享平臺（CNVD）提交了一個重大漏洞“BucketShock”，所有云存儲應用中可能超過 70% 存在該問題。

2019 年 10 月 28 日，CNVD 收錄了這個云存儲應用越權訪問和文件上傳漏洞（CNVD-2019-37364）。攻擊者利用該漏洞，可在越權的情況下，遠程讀取、修改云存儲中的內(nèi)容。目前，漏洞相關細節(jié)未公開，漏洞影響范圍和危害較大。

TK 教主稱，開發(fā)者對相關技術安全特性普遍存在的錯誤理解導致了漏洞，利用該問題可讀取，甚至改寫云存儲用戶的所有數(shù)據(jù)。

以下是 CNVD 對該漏洞發(fā)布的公告：

一、漏洞情況分析

云存儲是云計算基礎上延伸和衍生發(fā)展出來的新概念，綜合采用分布式處理、并行處理和網(wǎng)格計算等手段，將網(wǎng)絡中不同類型的存儲設備通過應用軟件集合起來協(xié)同工作，對外提供統(tǒng)一的數(shù)據(jù)存儲和業(yè)務訪問功能。云存儲在移動APP、網(wǎng)頁版程序、APP小程序（以下簡稱云存儲應用）等場景得到了廣泛應用。用戶訪問云存儲數(shù)據(jù)時，進行簽名請求的密鑰有永久密鑰和臨時密鑰兩種方式。

騰訊安全玄武實驗室研究發(fā)現(xiàn)云存儲應用由于配置不當，存在越權訪問和文件上傳漏洞：使用臨時密鑰進行文件上傳的云存儲應用，缺乏對文件（存儲桶）訪問或上傳路徑（存儲桶）的權限限制，導致文件（存儲桶）越權訪問或文件上傳漏洞；使用永久密鑰為文件上傳請求簽名的云存儲應用，缺乏對永久密鑰的必要保護，產(chǎn)生任意路徑文件（存儲桶）的越權訪問和文件上傳漏洞。攻擊者利用上述漏洞，通過云存儲應用破解或網(wǎng)絡抓包獲得永久密鑰或臨時密鑰，實現(xiàn)對云存儲中的文件數(shù)據(jù)的竊取，甚至篡改用戶保存在云存儲中的數(shù)據(jù)文件。

CNVD對該漏洞的綜合評級為“高?！?。

二、漏洞影響范圍

漏洞影響情況如下：

騰訊安全玄武實驗室阿圖因系統(tǒng)分析結果顯示，使用國內(nèi)主流廠商云存儲服務的安卓 APP 數(shù)量為4148個。抽樣檢測結果顯示，受此漏洞影響的應用比例達 70% 。CNVD 平臺已于 10 月 28 日完成對上述受影響 APP 的云服務廠商通報工作。

三、漏洞處置建議

CNVD 建議云存儲應用開發(fā)者采用如下方式修復漏洞：

1、采用臨時簽名上傳文件的云存儲應用：根據(jù)業(yè)務場景將服務端生成的臨時密鑰權限更新至最小，限定文件的上傳路徑和上傳的目標存儲桶，去除讀文件、列存儲桶、列對象、覆蓋文件等非業(yè)務必要權限。

2、采用永久密鑰簽名上傳文件的云存儲應用：更新客戶端和服務端上傳邏輯，改為用最小權限的臨時密鑰方式或者 PUT 方式進行上傳。

CNVD 建議云存儲服務提供商一方面進行漏洞排查，通知云存儲用戶自查和修復，并提供必要的技術支持；另一方面完善云存儲的使用說明文檔，提醒云存儲用戶錯誤配置可能導致的安全問題，并針對常用場景給出配置策略建議。

雷峰網(wǎng)版權文章，未經(jīng)授權禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。