11 月 21 日，在小米 IoT 安全峰會上，騰訊安全玄武實驗室負(fù)責(zé)人于旸（花名：TK教主）在演講中透露，騰訊玄武實驗室最近向國家信息安全漏洞共享平臺（CNVD）提交了一個重大漏洞“BucketShock”，所有云存儲應(yīng)用中可能超過 70% 存在該問題。

2019 年 10 月 28 日，CNVD 收錄了這個云存儲應(yīng)用越權(quán)訪問和文件上傳漏洞（CNVD-2019-37364）。攻擊者利用該漏洞，可在越權(quán)的情況下，遠(yuǎn)程讀取、修改云存儲中的內(nèi)容。目前，漏洞相關(guān)細(xì)節(jié)未公開，漏洞影響范圍和危害較大。

TK 教主稱，開發(fā)者對相關(guān)技術(shù)安全特性普遍存在的錯誤理解導(dǎo)致了漏洞，利用該問題可讀取，甚至改寫云存儲用戶的所有數(shù)據(jù)。

以下是 CNVD 對該漏洞發(fā)布的公告：

一、漏洞情況分析

云存儲是云計算基礎(chǔ)上延伸和衍生發(fā)展出來的新概念，綜合采用分布式處理、并行處理和網(wǎng)格計算等手段，將網(wǎng)絡(luò)中不同類型的存儲設(shè)備通過應(yīng)用軟件集合起來協(xié)同工作，對外提供統(tǒng)一的數(shù)據(jù)存儲和業(yè)務(wù)訪問功能。云存儲在移動APP、網(wǎng)頁版程序、APP小程序（以下簡稱云存儲應(yīng)用）等場景得到了廣泛應(yīng)用。用戶訪問云存儲數(shù)據(jù)時，進(jìn)行簽名請求的密鑰有永久密鑰和臨時密鑰兩種方式。

騰訊安全玄武實驗室研究發(fā)現(xiàn)云存儲應(yīng)用由于配置不當(dāng)，存在越權(quán)訪問和文件上傳漏洞：使用臨時密鑰進(jìn)行文件上傳的云存儲應(yīng)用，缺乏對文件（存儲桶）訪問或上傳路徑（存儲桶）的權(quán)限限制，導(dǎo)致文件（存儲桶）越權(quán)訪問或文件上傳漏洞；使用永久密鑰為文件上傳請求簽名的云存儲應(yīng)用，缺乏對永久密鑰的必要保護(hù)，產(chǎn)生任意路徑文件（存儲桶）的越權(quán)訪問和文件上傳漏洞。攻擊者利用上述漏洞，通過云存儲應(yīng)用破解或網(wǎng)絡(luò)抓包獲得永久密鑰或臨時密鑰，實現(xiàn)對云存儲中的文件數(shù)據(jù)的竊取，甚至篡改用戶保存在云存儲中的數(shù)據(jù)文件。

CNVD對該漏洞的綜合評級為“高?！?。

二、漏洞影響范圍

漏洞影響情況如下：

騰訊安全玄武實驗室阿圖因系統(tǒng)分析結(jié)果顯示，使用國內(nèi)主流廠商云存儲服務(wù)的安卓 APP 數(shù)量為4148個。抽樣檢測結(jié)果顯示，受此漏洞影響的應(yīng)用比例達(dá) 70% 。CNVD 平臺已于 10 月 28 日完成對上述受影響 APP 的云服務(wù)廠商通報工作。

三、漏洞處置建議

CNVD 建議云存儲應(yīng)用開發(fā)者采用如下方式修復(fù)漏洞：

1、采用臨時簽名上傳文件的云存儲應(yīng)用：根據(jù)業(yè)務(wù)場景將服務(wù)端生成的臨時密鑰權(quán)限更新至最小，限定文件的上傳路徑和上傳的目標(biāo)存儲桶，去除讀文件、列存儲桶、列對象、覆蓋文件等非業(yè)務(wù)必要權(quán)限。

2、采用永久密鑰簽名上傳文件的云存儲應(yīng)用：更新客戶端和服務(wù)端上傳邏輯，改為用最小權(quán)限的臨時密鑰方式或者 PUT 方式進(jìn)行上傳。

CNVD 建議云存儲服務(wù)提供商一方面進(jìn)行漏洞排查，通知云存儲用戶自查和修復(fù)，并提供必要的技術(shù)支持；另一方面完善云存儲的使用說明文檔，提醒云存儲用戶錯誤配置可能導(dǎo)致的安全問題，并針對常用場景給出配置策略建議。

雷峰網(wǎng)版權(quán)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。