信息化觀察網(wǎng)

11月21日，在小米IoT安全峰會上，騰訊安全玄武實驗室負責(zé)人于旸（花名：TK教主）在演講中透露，騰訊玄武實驗室最近向國家信息安全漏洞共享平臺（CNVD）提交了一個重大漏洞“BucketShock”，所有云存儲應(yīng)用中可能超過70%存在該問題。

2019年10月28日，CNVD收錄了這個云存儲應(yīng)用越權(quán)訪問和文件上傳漏洞（CNVD-2019-37364）。攻擊者利用該漏洞，可在越權(quán)的情況下，遠程讀取、修改云存儲中的內(nèi)容。目前，漏洞相關(guān)細節(jié)未公開，漏洞影響范圍和危害較大。

TK教主稱，開發(fā)者對相關(guān)技術(shù)安全特性普遍存在的錯誤理解導(dǎo)致了漏洞，利用該問題可讀取，甚至改寫云存儲用戶的所有數(shù)據(jù)。

詳細情況是，使用臨時密鑰進行文件上傳的云存儲應(yīng)用，缺乏對文件（存儲桶）訪問或上傳路徑（存儲桶）的權(quán)限限制，導(dǎo)致文件（存儲桶）越權(quán)訪問或文件上傳漏洞；使用永久密鑰為文件上傳請求簽名的云存儲應(yīng)用，缺乏對永久密鑰的必要保護，產(chǎn)生任意路徑文件（存儲桶）的越權(quán)訪問和文件上傳漏洞。攻擊者利用上述漏洞，通過云存儲應(yīng)用破解或網(wǎng)絡(luò)抓包獲得永久密鑰或臨時密鑰，實現(xiàn)對云存儲中的文件數(shù)據(jù)的竊取，甚至篡改用戶保存在云存儲中的數(shù)據(jù)文件。

CNVD對該漏洞的綜合評級為“高危”。