首頁 > 安全研究 > 安全通報 > 安全通告

云存儲應用越權訪問和文件上傳漏洞安全通告

發布時間 2019-11-18

漏洞編號和級別


CVE編號:暫無,危險級別:高危,CVSS分值:官方未評定


影響范圍


據統計,使用國內主流廠商云存儲服務的安卓APP數量為4148個。抽樣檢測結果顯示,受此漏洞影響的應用比例達70%。


漏洞概述


云存儲是云計算基礎上延伸和衍生發展出來的新概念,綜合采用分布式處理、并行處理和網格計算等手段,將網絡中不同類型的存儲設備通過應用軟件集合起來協同工作,對外提供統一的數據存儲和業務訪問功能。云存儲在移動APP、網頁版程序、APP小程序(以下簡稱云存儲應用)等場景得到了廣泛應用。用戶訪問云存儲數據時,進行簽名請求的密鑰有永久密鑰和臨時密鑰兩種方式。


云存儲應用由于配置不當,存在越權訪問和文件上傳漏洞:使用臨時密鑰進行文件上傳的云存儲應用,缺乏對文件(存儲桶)訪問或上傳路徑(存儲桶)的權限限制,導致文件(存儲桶)越權訪問或文件上傳漏洞;使用永久密鑰為文件上傳請求簽名的云存儲應用,缺乏對永久密鑰的必要保護,產生任意路徑文件(存儲桶)的越權訪問和文件上傳漏洞。攻擊者利用上述漏洞,通過云存儲應用破解或網絡抓包獲得永久密鑰或臨時密鑰,實現對云存儲中的文件數據的竊取,甚至篡改用戶保存在云存儲中的數據文件。


漏洞驗證


暫無EXP/POC。


修復建議


目前官方尚未發布漏洞修復補丁。


臨時修復建議:


建議云存儲應用開發者采用如下方式修復漏洞:


1、采用臨時簽名上傳文件的云存儲應用:根據業務場景將服務端生成的臨時密鑰權限更新至最小,限定文件的上傳路徑和上傳的目標存儲桶,去除讀文件、列存儲桶、列對象、覆蓋文件等非業務必要權限。


2、采用永久密鑰簽名上傳文件的云存儲應用:更新客戶端和服務端上傳邏輯,改為用最小權限的臨時密鑰方式或者PUT方式進行上傳。


參考鏈接


https://www.cnvd.org.cn/webinfo/show/5291


上一篇 下一篇