11月21日,在小米IoT安全峰会上,腾讯安全玄武实验室负责人于旸(花名:TK教主)在演讲中透露,腾讯玄武实验室最近向国家信息安全漏洞共享平台(CNVD)提交了一个重大漏洞“BucketShock”,所有云存储应用中可能超过70%存在该问题。
2019年10月28日,CNVD收录了这个云存储应用越权访问和文件上传漏洞(CNVD-2019-37364)。攻击者利用该漏洞,可在越权的情况下,远程读取、修改云存储中的内容。目前,漏洞相关细节未公开,漏洞影响范围和危害较大。
TK教主称,开发者对相关技术安全特性普遍存在的错误理解导致了漏洞,利用该问题可读取,甚至改写云存储用户的所有数据。
详细情况是,使用临时密钥进行文件上传的云存储应用,缺乏对文件(存储桶)访问或上传路径(存储桶)的权限限制,导致文件(存储桶)越权访问或文件上传漏洞;使用永久密钥为文件上传请求签名的云存储应用,缺乏对永久密钥的必要保护,产生任意路径文件(存储桶)的越权访问和文件上传漏洞。攻击者利用上述漏洞,通过云存储应用破解或网络抓包获得永久密钥或临时密钥,实现对云存储中的文件数据的窃取,甚至篡改用户保存在云存储中的数据文件。
CNVD对该漏洞的综合评级为“高危”。
