0
11 月 21 日,在小米 IoT 安全峰會上,騰訊安全玄武實驗室負責人于旸(花名:TK教主)在演講中透露,騰訊玄武實驗室最近向國家信息安全漏洞共享平臺(CNVD)提交了一個重大漏洞“BucketShock”,所有云存儲應用中可能超過 70% 存在該問題。
2019 年 10 月 28 日,CNVD 收錄了這個云存儲應用越權訪問和文件上傳漏洞(CNVD-2019-37364)。攻擊者利用該漏洞,可在越權的情況下,遠程讀取、修改云存儲中的內容。目前,漏洞相關細節未公開,漏洞影響范圍和危害較大。
TK 教主稱,開發者對相關技術安全特性普遍存在的錯誤理解導致了漏洞,利用該問題可讀取,甚至改寫云存儲用戶的所有數據。
以下是 CNVD 對該漏洞發布的公告:
云存儲是云計算基礎上延伸和衍生發展出來的新概念,綜合采用分布式處理、并行處理和網格計算等手段,將網絡中不同類型的存儲設備通過應用軟件集合起來協同工作,對外提供統一的數據存儲和業務訪問功能。云存儲在移動APP、網頁版程序、APP小程序(以下簡稱云存儲應用)等場景得到了廣泛應用。用戶訪問云存儲數據時,進行簽名請求的密鑰有永久密鑰和臨時密鑰兩種方式。
騰訊安全玄武實驗室研究發現云存儲應用由于配置不當,存在越權訪問和文件上傳漏洞:使用臨時密鑰進行文件上傳的云存儲應用,缺乏對文件(存儲桶)訪問或上傳路徑(存儲桶)的權限限制,導致文件(存儲桶)越權訪問或文件上傳漏洞;使用永久密鑰為文件上傳請求簽名的云存儲應用,缺乏對永久密鑰的必要保護,產生任意路徑文件(存儲桶)的越權訪問和文件上傳漏洞。攻擊者利用上述漏洞,通過云存儲應用破解或網絡抓包獲得永久密鑰或臨時密鑰,實現對云存儲中的文件數據的竊取,甚至篡改用戶保存在云存儲中的數據文件。
CNVD對該漏洞的綜合評級為“高危”。
漏洞影響情況如下:
騰訊安全玄武實驗室阿圖因系統分析結果顯示,使用國內主流廠商云存儲服務的安卓 APP 數量為4148個。抽樣檢測結果顯示,受此漏洞影響的應用比例達 70% 。CNVD 平臺已于 10 月 28 日完成對上述受影響 APP 的云服務廠商通報工作。
CNVD 建議云存儲應用開發者采用如下方式修復漏洞:
1、采用臨時簽名上傳文件的云存儲應用:根據業務場景將服務端生成的臨時密鑰權限更新至最小,限定文件的上傳路徑和上傳的目標存儲桶,去除讀文件、列存儲桶、列對象、覆蓋文件等非業務必要權限。
2、采用永久密鑰簽名上傳文件的云存儲應用:更新客戶端和服務端上傳邏輯,改為用最小權限的臨時密鑰方式或者 PUT 方式進行上傳。
CNVD 建議云存儲服務提供商一方面進行漏洞排查,通知云存儲用戶自查和修復,并提供必要的技術支持;另一方面完善云存儲的使用說明文檔,提醒云存儲用戶錯誤配置可能導致的安全問題,并針對常用場景給出配置策略建議。
雷峰網版權文章,未經授權禁止轉載。詳情見轉載須知。
