腾讯发现重大云存储漏洞:超70%云存储应用中招,可改写用户所有数据

使用临时密钥进行文件上传的云存储应用,缺乏对文件(存储桶)访问或上传路径(存储桶)的权限限制,导致文件(存储桶)越权访问或文件上传漏洞;使用永久密钥为文件上传请求签名的云存储应用,缺乏对永久密钥的必要保护,产生任意路径文件(存储桶)的越权访问和文件上传漏洞。

11月21日,在小米IoT安全峰会上,腾讯安全玄武实验室负责人于旸(花名:TK教主)在演讲中透露,腾讯玄武实验室最近向国家信息安全漏洞共享平台(CNVD)提交了一个重大漏洞“BucketShock”,所有云存储应用中可能超过70%存在该问题。

2019年10月28日,CNVD收录了这个云存储应用越权访问和文件上传漏洞(CNVD-2019-37364)。攻击者利用该漏洞,可在越权的情况下,远程读取、修改云存储中的内容。目前,漏洞相关细节未公开,漏洞影响范围和危害较大。

TK教主称,开发者对相关技术安全特性普遍存在的错误理解导致了漏洞,利用该问题可读取,甚至改写云存储用户的所有数据。

详细情况是,使用临时密钥进行文件上传的云存储应用,缺乏对文件(存储桶)访问或上传路径(存储桶)的权限限制,导致文件(存储桶)越权访问或文件上传漏洞;使用永久密钥为文件上传请求签名的云存储应用,缺乏对永久密钥的必要保护,产生任意路径文件(存储桶)的越权访问和文件上传漏洞。攻击者利用上述漏洞,通过云存储应用破解或网络抓包获得永久密钥或临时密钥,实现对云存储中的文件数据的窃取,甚至篡改用户保存在云存储中的数据文件。

CNVD对该漏洞的综合评级为“高危”。

本文来自信息化观察者网,转载请注明出处。


微信扫码加入本站小密圈,下载6000+最新精选行业报告

发表评论