安全公告編號(hào):CNTA-2019-0038

2019年10月28日，國(guó)家信息安全漏洞共享平臺(tái)（CNVD）收錄了由騰訊安全玄武實(shí)驗(yàn)室發(fā)現(xiàn)并報(bào)送的云存儲(chǔ)應(yīng)用越權(quán)訪問和文件上傳漏洞（CNVD-2019-37364）。攻擊者利用該漏洞，可在越權(quán)的情況下，遠(yuǎn)程讀取、修改云存儲(chǔ)中的內(nèi)容。目前，漏洞相關(guān)細(xì)節(jié)未公開，漏洞影響范圍和危害較大。

一、漏洞情況分析

云存儲(chǔ)是云計(jì)算基礎(chǔ)上延伸和衍生發(fā)展出來的新概念，綜合采用分布式處理、并行處理和網(wǎng)格計(jì)算等手段，將網(wǎng)絡(luò)中不同類型的存儲(chǔ)設(shè)備通過應(yīng)用軟件集合起來協(xié)同工作，對(duì)外提供統(tǒng)一的數(shù)據(jù)存儲(chǔ)和業(yè)務(wù)訪問功能。云存儲(chǔ)在移動(dòng)APP、網(wǎng)頁版程序、APP小程序（以下簡(jiǎn)稱云存儲(chǔ)應(yīng)用）等場(chǎng)景得到了廣泛應(yīng)用。用戶訪問云存儲(chǔ)數(shù)據(jù)時(shí)，進(jìn)行簽名請(qǐng)求的密鑰有永久密鑰和臨時(shí)密鑰兩種方式。

騰訊安全玄武實(shí)驗(yàn)室研究發(fā)現(xiàn)云存儲(chǔ)應(yīng)用由于配置不當(dāng)，存在越權(quán)訪問和文件上傳漏洞：使用臨時(shí)密鑰進(jìn)行文件上傳的云存儲(chǔ)應(yīng)用，缺乏對(duì)文件（存儲(chǔ)桶）訪問或上傳路徑（存儲(chǔ)桶）的權(quán)限限制，導(dǎo)致文件（存儲(chǔ)桶）越權(quán)訪問或文件上傳漏洞；使用永久密鑰為文件上傳請(qǐng)求簽名的云存儲(chǔ)應(yīng)用，缺乏對(duì)永久密鑰的必要保護(hù)，產(chǎn)生任意路徑文件（存儲(chǔ)桶）的越權(quán)訪問和文件上傳漏洞。攻擊者利用上述漏洞，通過云存儲(chǔ)應(yīng)用破解或網(wǎng)絡(luò)抓包獲得永久密鑰或臨時(shí)密鑰，實(shí)現(xiàn)對(duì)云存儲(chǔ)中的文件數(shù)據(jù)的竊取，甚至篡改用戶保存在云存儲(chǔ)中的數(shù)據(jù)文件。

CNVD對(duì)該漏洞的綜合評(píng)級(jí)為“高?！?。

二、漏洞影響范圍

漏洞影響情況如下：

騰訊安全玄武實(shí)驗(yàn)室阿圖因系統(tǒng)分析結(jié)果顯示，使用國(guó)內(nèi)主流廠商云存儲(chǔ)服務(wù)的安卓APP數(shù)量為4148個(gè)。抽樣檢測(cè)結(jié)果顯示，受此漏洞影響的應(yīng)用比例達(dá)70%。CNVD平臺(tái)已于10月28日完成對(duì)上述受影響APP的云服務(wù)廠商通報(bào)工作。

三、漏洞處置建議

CNVD建議云存儲(chǔ)應(yīng)用開發(fā)者采用如下方式修復(fù)漏洞：

1、采用臨時(shí)簽名上傳文件的云存儲(chǔ)應(yīng)用：根據(jù)業(yè)務(wù)場(chǎng)景將服務(wù)端生成的臨時(shí)密鑰權(quán)限更新至最小，限定文件的上傳路徑和上傳的目標(biāo)存儲(chǔ)桶，去除讀文件、列存儲(chǔ)桶、列對(duì)象、覆蓋文件等非業(yè)務(wù)必要權(quán)限。

2、采用永久密鑰簽名上傳文件的云存儲(chǔ)應(yīng)用：更新客戶端和服務(wù)端上傳邏輯，改為用最小權(quán)限的臨時(shí)密鑰方式或者 PUT 方式進(jìn)行上傳。

CNVD建議云存儲(chǔ)服務(wù)提供商一方面進(jìn)行漏洞排查，通知云存儲(chǔ)用戶自查和修復(fù)，并提供必要的技術(shù)支持；另一方面完善云存儲(chǔ)的使用說明文檔，提醒云存儲(chǔ)用戶錯(cuò)誤配置可能導(dǎo)致的安全問題，并針對(duì)常用場(chǎng)景給出配置策略建議。