腾讯玄武实验室向（CNVD）提交了一个重大漏洞“BucketShock”

导读	11 月 21 日，在小米 IoT 安全峰会上，腾讯安全玄武实验室负责人于旸（花名：TK 教主）在演讲中透露，腾讯玄武实验室最近向国家信息安全漏洞共享平台（CNVD）提交了一个重大漏洞“BucketShock”，所有云存储应用中可能超过 70% 存在该问题。

2019 年 10 月 28 日，CNVD 收录了这个云存储应用越权访问和文件上传漏洞（CNVD-2019-37364）。攻击者利用该漏洞，可在越权的情况下，远程读取、修改云存储中的内容。目前，漏洞相关细节未公开，漏洞影响范围和危害较大。

TK 教主称，开发者对相关技术安全特性普遍存在的错误理解导致了漏洞，利用该问题可读取，甚至改写云存储用户的所有数据。

以下是 CNVD 对该漏洞发布的公告：

一、漏洞情况分析

云存储是云计算基础上延伸和衍生发展出来的新概念，综合采用分布式处理、并行处理和网格计算等手段，将网络中不同类型的存储设备通过应用软件集合起来协同工作，对外提供统一的数据存储和业务访问功能。云存储在移动 APP、网页版程序、APP 小程序（以下简称云存储应用）等场景得到了广泛应用。用户访问云存储数据时，进行签名请求的密钥有永久密钥和临时密钥两种方式。

腾讯安全玄武实验室研究发现云存储应用由于配置不当，存在越权访问和文件上传漏洞：使用临时密钥进行文件上传的云存储应用，缺乏对文件（存储桶）访问或上传路径（存储桶）的权限限制，导致文件（存储桶）越权访问或文件上传漏洞；使用永久密钥为文件上传请求签名的云存储应用，缺乏对永久密钥的必要保护，产生任意路径文件（存储桶）的越权访问和文件上传漏洞。攻击者利用上述漏洞，通过云存储应用破解或网络抓包获得永久密钥或临时密钥，实现对云存储中的文件数据的窃取，甚至篡改用户保存在云存储中的数据文件。

CNVD 对该漏洞的综合评级为“高危”。

　二、漏洞影响范围

漏洞影响情况如下：

腾讯安全玄武实验室阿图因系统分析结果显示，使用国内主流厂商云存储服务的安卓 APP 数量为 4148 个。抽样检测结果显示，受此漏洞影响的应用比例达 70% 。CNVD 平台已于 10 月 28 日完成对上述受影响 APP 的云服务厂商通报工作。

三、漏洞处置建议

CNVD 建议云存储应用开发者采用如下方式修复漏洞：

1、采用临时签名上传文件的云存储应用：根据业务场景将服务端生成的临时密钥权限更新至最小，限定文件的上传路径和上传的目标存储桶，去除读文件、列存储桶、列对象、覆盖文件等非业务必要权限。

2、采用永久密钥签名上传文件的云存储应用：更新客户端和服务端上传逻辑，改为用最小权限的临时密钥方式或者 PUT 方式进行上传。

CNVD 建议云存储服务提供商一方面进行漏洞排查，通知云存储用户自查和修复，并提供必要的技术支持；另一方面完善云存储的使用说明文档，提醒云存储用户错误配置可能导致的安全问题，并针对常用场景给出配置策略建议。

本文转自：https://www.linuxprobe.com/tencent-xuanwu-lab.html