11 月 21 日，在小米 IoT 安全峰會(huì)上，騰訊安全玄武實(shí)驗(yàn)室負(fù)責(zé)人于旸（花名：TK教主）在演講中透露，騰訊玄武實(shí)驗(yàn)室最近向國家信息安全漏洞共享平臺(tái)（CNVD）提交了一個(gè)重大漏洞“BucketShock”，所有云存儲(chǔ)應(yīng)用中可能超過 70% 存在該問題。

2019 年 10 月 28 日，CNVD 收錄了這個(gè)云存儲(chǔ)應(yīng)用越權(quán)訪問和文件上傳漏洞（CNVD-2019-37364）。攻擊者利用該漏洞，可在越權(quán)的情況下，遠(yuǎn)程讀取、修改云存儲(chǔ)中的內(nèi)容。目前，漏洞相關(guān)細(xì)節(jié)未公開，漏洞影響范圍和危害較大。

TK 教主稱，開發(fā)者對(duì)相關(guān)技術(shù)安全特性普遍存在的錯(cuò)誤理解導(dǎo)致了漏洞，利用該問題可讀取，甚至改寫云存儲(chǔ)用戶的所有數(shù)據(jù)。

以下是 CNVD 對(duì)該漏洞發(fā)布的公告：

一、漏洞情況分析

云存儲(chǔ)是云計(jì)算基礎(chǔ)上延伸和衍生發(fā)展出來的新概念，綜合采用分布式處理、并行處理和網(wǎng)格計(jì)算等手段，將網(wǎng)絡(luò)中不同類型的存儲(chǔ)設(shè)備通過應(yīng)用軟件集合起來協(xié)同工作，對(duì)外提供統(tǒng)一的數(shù)據(jù)存儲(chǔ)和業(yè)務(wù)訪問功能。云存儲(chǔ)在移動(dòng)APP、網(wǎng)頁版程序、APP小程序（以下簡稱云存儲(chǔ)應(yīng)用）等場(chǎng)景得到了廣泛應(yīng)用。用戶訪問云存儲(chǔ)數(shù)據(jù)時(shí)，進(jìn)行簽名請(qǐng)求的密鑰有永久密鑰和臨時(shí)密鑰兩種方式。

騰訊安全玄武實(shí)驗(yàn)室研究發(fā)現(xiàn)云存儲(chǔ)應(yīng)用由于配置不當(dāng)，存在越權(quán)訪問和文件上傳漏洞：使用臨時(shí)密鑰進(jìn)行文件上傳的云存儲(chǔ)應(yīng)用，缺乏對(duì)文件（存儲(chǔ)桶）訪問或上傳路徑（存儲(chǔ)桶）的權(quán)限限制，導(dǎo)致文件（存儲(chǔ)桶）越權(quán)訪問或文件上傳漏洞；使用永久密鑰為文件上傳請(qǐng)求簽名的云存儲(chǔ)應(yīng)用，缺乏對(duì)永久密鑰的必要保護(hù)，產(chǎn)生任意路徑文件（存儲(chǔ)桶）的越權(quán)訪問和文件上傳漏洞。攻擊者利用上述漏洞，通過云存儲(chǔ)應(yīng)用破解或網(wǎng)絡(luò)抓包獲得永久密鑰或臨時(shí)密鑰，實(shí)現(xiàn)對(duì)云存儲(chǔ)中的文件數(shù)據(jù)的竊取，甚至篡改用戶保存在云存儲(chǔ)中的數(shù)據(jù)文件。

CNVD對(duì)該漏洞的綜合評(píng)級(jí)為“高危”。

二、漏洞影響范圍

漏洞影響情況如下：

騰訊安全玄武實(shí)驗(yàn)室阿圖因系統(tǒng)分析結(jié)果顯示，使用國內(nèi)主流廠商云存儲(chǔ)服務(wù)的安卓 APP 數(shù)量為4148個(gè)。抽樣檢測(cè)結(jié)果顯示，受此漏洞影響的應(yīng)用比例達(dá) 70% 。CNVD 平臺(tái)已于 10 月 28 日完成對(duì)上述受影響 APP 的云服務(wù)廠商通報(bào)工作。

三、漏洞處置建議

CNVD 建議云存儲(chǔ)應(yīng)用開發(fā)者采用如下方式修復(fù)漏洞：

1、采用臨時(shí)簽名上傳文件的云存儲(chǔ)應(yīng)用：根據(jù)業(yè)務(wù)場(chǎng)景將服務(wù)端生成的臨時(shí)密鑰權(quán)限更新至最小，限定文件的上傳路徑和上傳的目標(biāo)存儲(chǔ)桶，去除讀文件、列存儲(chǔ)桶、列對(duì)象、覆蓋文件等非業(yè)務(wù)必要權(quán)限。

2、采用永久密鑰簽名上傳文件的云存儲(chǔ)應(yīng)用：更新客戶端和服務(wù)端上傳邏輯，改為用最小權(quán)限的臨時(shí)密鑰方式或者 PUT 方式進(jìn)行上傳。

CNVD 建議云存儲(chǔ)服務(wù)提供商一方面進(jìn)行漏洞排查，通知云存儲(chǔ)用戶自查和修復(fù)，并提供必要的技術(shù)支持；另一方面完善云存儲(chǔ)的使用說明文檔，提醒云存儲(chǔ)用戶錯(cuò)誤配置可能導(dǎo)致的安全問題，并針對(duì)常用場(chǎng)景給出配置策略建議。

雷峰網(wǎng)版權(quán)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。