云存储应用越权访问和文件上传漏洞安全通告
发布时间 2019-11-18漏洞编号和级别
CVE编号:暂无,危险级别:高危,CVSS分值:官方未评定
影响范围
据统计,使用国内主流厂商云存储服务的安卓APP数量为4148个。抽样检测结果显示,受此漏洞影响的应用比例达70%。
漏洞概述
云存储是云计算基础上延伸和衍生发展出来的新概念,综合采用分布式处理、并行处理和网格计算等手段,将网络中不同类型的存储设备通过应用软件集合起来协同工作,对外提供统一的数据存储和业务访问功能。云存储在移动APP、网页版程序、APP小程序(以下简称云存储应用)等场景得到了广泛应用。用户访问云存储数据时,进行签名请求的密钥有永久密钥和临时密钥两种方式。
云存储应用由于配置不当,存在越权访问和文件上传漏洞:使用临时密钥进行文件上传的云存储应用,缺乏对文件(存储桶)访问或上传路径(存储桶)的权限限制,导致文件(存储桶)越权访问或文件上传漏洞;使用永久密钥为文件上传请求签名的云存储应用,缺乏对永久密钥的必要保护,产生任意路径文件(存储桶)的越权访问和文件上传漏洞。攻击者利用上述漏洞,通过云存储应用破解或网络抓包获得永久密钥或临时密钥,实现对云存储中的文件数据的窃取,甚至篡改用户保存在云存储中的数据文件。
漏洞验证
暂无EXP/POC。
修复建议
目前官方尚未发布漏洞修复补丁。
临时修复建议:
建议云存储应用开发者采用如下方式修复漏洞:
1、采用临时签名上传文件的云存储应用:根据业务场景将服务端生成的临时密钥权限更新至最小,限定文件的上传路径和上传的目标存储桶,去除读文件、列存储桶、列对象、覆盖文件等非业务必要权限。
2、采用永久密钥签名上传文件的云存储应用:更新客户端和服务端上传逻辑,改为用最小权限的临时密钥方式或者PUT方式进行上传。
参考链接
https://www.cnvd.org.cn/webinfo/show/5291
京公网安备11010802024551号