云存储是一种网上在线存储(英语:Cloud storage)的模式,即把数据存放在通常由第三方托管的多台虚拟服务器,而非专属的服务器上。
计划永远赶不上变化,计划的是现在变的是人心。
11 月 21 日在小米 IoT 安全峰会上腾讯安全玄武实验室负责人于旸(花名TK教主)在演讲中透露腾讯玄武实验室最近向国家信息安全漏洞共享平台(CNVD)提交了一个重大漏洞BucketShock所有云存储应用中可能超过 70% 存在该问题
2019 年 10 月 28 日CNVD 收录了这个云存储应用越权访问和文件上传漏洞(CNVD-2019-37364)攻击者利用该漏洞可在越权的情况下远程读取修改云存储中的内容目前漏洞相关细节未公开漏洞影响范围和危害较大
TK 教主称开发者对相关技术安全特性普遍存在的错误理解导致了漏洞利用该问题可读取甚至改写云存储用户的所有数据
以下是 CNVD 对该漏洞发布的公告
一漏洞情况分析
云存储是云计算基础上延伸和衍生发展出来的新概念综合采用分布式处理并行处理和网格计算等手段将网络中不同类型的存储设备通过应用软件集合起来协同工作对外提供统一的数据存储和业务访问功能云存储在移动APP网页版程序APP小程序(以下简称云存储应用)等场景得到了广泛应用用户访问云存储数据时进行签名请求的密钥有永久密钥和临时密钥两种方式
腾讯安全玄武实验室研究发现云存储应用由于配置不当存在越权访问和文件上传漏洞使用临时密钥进行文件上传的云存储应用缺乏对文件(存储桶)访问或上传路径(存储桶)的权限限制导致文件(存储桶)越权访问或文件上传漏洞使用永久密钥为文件上传请求签名的云存储应用缺乏对永久密钥的必要保护产生任意路径文件(存储桶)的越权访问和文件上传漏洞攻击者利用上述漏洞通过云存储应用破解或网络抓包获得永久密钥或临时密钥实现对云存储中的文件数据的窃取甚至篡改用户保存在云存储中的数据文件
CNVD对该漏洞的综合评级为高危
二漏洞影响范围
漏洞影响情况如下
腾讯安全玄武实验室阿图因系统分析结果显示使用国内主流厂商云存储服务的安卓 APP 数量为4148个抽样检测结果显示受此漏洞影响的应用比例达 70% CNVD 平台已于 10 月 28 日完成对上述受影响 APP 的云服务厂商通报工作
三漏洞处置建议
CNVD 建议云存储应用开发者采用如下方式修复漏洞
1采用临时签名上传文件的云存储应用根据业务场景将服务端生成的临时密钥权限更新至最小限定文件的上传路径和上传的目标存储桶去除读文件列存储桶列对象覆盖文件等非业务必要权限
2采用永久密钥签名上传文件的云存储应用更新客户端和服务端上传逻辑改为用最小权限的临时密钥方式或者 PUT 方式进行上传
CNVD 建议云存储服务提供商一方面进行漏洞排查通知云存储用户自查和修复并提供必要的技术支持另一方面完善云存储的使用说明文档提醒云存储用户错误配置可能导致的安全问题并针对常用场景给出配置策略建议
雷锋网年度评选寻找19大行业的最佳AI落地实践
创立于2017年的「AI最佳掘金案例年度榜单」是业内首个人工智能商业案例评选活动雷锋网从商用维度出发寻找人工智能在各个行业的最佳落地实践