上周四，云基礎(chǔ)設(shè)施安全公司%20Wiz披露了一個(gè)現(xiàn)已修復(fù)的Azure%20Cosmos數(shù)據(jù)庫(kù)漏洞細(xì)節(jié)，該漏洞可能被利用來(lái)授予任何Azure用戶對(duì)其他客戶數(shù)據(jù)庫(kù)實(shí)例的完全管理員訪問(wèn)權(quán)限，而無(wú)需任何授權(quán)。

該漏洞授予讀取、寫入和刪除權(quán)限，被稱為“%20ChaosDB%20”，Wiz%20研究人員指出，“該漏洞不需要任何先前訪問(wèn)目標(biāo)環(huán)境的權(quán)限，并影響成千上萬(wàn)的組織機(jī)構(gòu)，包括許多《財(cái)富》500強(qiáng)公司。”

Cosmos%20DB是微軟專有的NoSQL數(shù)據(jù)庫(kù)，它被宣傳為“一個(gè)完全托管的服務(wù)”，“通過(guò)自動(dòng)管理、更新和補(bǔ)丁，將數(shù)據(jù)庫(kù)管理從您的手中解放出來(lái)”。

Wiz研究團(tuán)隊(duì)于8月12日向微軟報(bào)告了這一問(wèn)題，之后微軟在負(fù)責(zé)的披露后48小時(shí)內(nèi)采取措施緩解了這一問(wèn)題，并于8月17日向發(fā)現(xiàn)者獎(jiǎng)勵(lì)了4萬(wàn)美元的獎(jiǎng)金。

微軟在一份聲明中表示:“我們沒(méi)有跡象表明研究人員之外的外部實(shí)體訪問(wèn)了與您的Azure%20Cosmos%20DB賬戶相關(guān)的主讀寫密鑰。”“此外，由于這個(gè)漏洞，我們不知道有任何數(shù)據(jù)訪問(wèn)。如果啟用了vNET或防火墻的Azure%20Cosmos%20DB賬戶會(huì)受到額外的安全機(jī)制的保護(hù)，以防止未經(jīng)授權(quán)的訪問(wèn)風(fēng)險(xiǎn)。”

Wiz發(fā)現(xiàn)的漏洞涉及Cosmos%20DB的Jupyter%20Notebook功能中的一系列漏洞，使攻擊者能夠獲取目標(biāo)Cosmos%20DB帳戶對(duì)應(yīng)的憑據(jù)，包括提供訪問(wèn)數(shù)據(jù)庫(kù)帳戶管理資源的主鍵。

研究人員表示:“使用這些憑證，用戶可以通過(guò)多種渠道查看、修改和刪除目標(biāo)Cosmos DB賬戶中的數(shù)據(jù)。”因此，任何啟用了Jupyter Notebook特性的Cosmos DB資產(chǎn)都可能受到影響。

雖然微軟通知了超過(guò)30%的Cosmos DB客戶潛在的安全漏洞，但Wiz預(yù)計(jì)實(shí)際的數(shù)字要高得多，因?yàn)樵撀┒匆呀?jīng)被利用了幾個(gè)月。

Wiz的研究人員指出:“每個(gè)Cosmos DB的客戶都應(yīng)該假設(shè)自己已經(jīng)被曝光。并建議檢查一下你的Cosmos DB賬戶過(guò)去的所有活動(dòng)。”此外，微軟還敦促它的客戶更新他們的Cosmos DB主密鑰，以減少任何由缺陷引起的風(fēng)險(xiǎn)。

隨著全球數(shù)字化趨勢(shì)的來(lái)臨，各行各業(yè)正在逐步進(jìn)行數(shù)字化轉(zhuǎn)型，數(shù)據(jù)被看作創(chuàng)造價(jià)值的核心資產(chǎn)。隨著信息化技術(shù)的高速發(fā)展，大量業(yè)務(wù)數(shù)據(jù)持續(xù)遷移到網(wǎng)絡(luò)環(huán)境中，不法組織與個(gè)人正在覬覦數(shù)據(jù)資產(chǎn)。

近年來(lái)，國(guó)內(nèi)外數(shù)據(jù)泄漏事件頻發(fā)，F(xiàn)acebook數(shù)據(jù)泄露、Uber用戶資料被盜、領(lǐng)英用戶數(shù)據(jù)暴露、等，這些事件涉及眾多行業(yè)，且泄漏事件發(fā)生與發(fā)現(xiàn)的時(shí)間間隔普遍較長(zhǎng)。IBM Security的一項(xiàng)研究報(bào)告顯示，在2021年統(tǒng)計(jì)的五百多家企業(yè)中，發(fā)現(xiàn)并遏制數(shù)據(jù)泄露所需的平均時(shí)間為 287 天，平均每起數(shù)據(jù)泄露事件成本為424萬(wàn)美元，醫(yī)療行業(yè)的數(shù)據(jù)泄露成本最高(923 萬(wàn)美元)，其次是金融行業(yè)(572 萬(wàn)美元)和制藥行業(yè)(504 萬(wàn)美元)。給企業(yè)和用戶造成了不可估量的經(jīng)濟(jì)及聲譽(yù)損失，數(shù)據(jù)安全管理面臨嚴(yán)峻的考驗(yàn)。

而數(shù)據(jù)泄露的多數(shù)事件中都離不開安全漏洞，美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)局(NIST)、國(guó)家漏洞數(shù)據(jù)庫(kù)(NVD)調(diào)查數(shù)據(jù)顯示，90%以上的網(wǎng)絡(luò)安全問(wèn)題是由軟件自身的安全漏洞被利用導(dǎo)致，軟件安全的提高是筑牢網(wǎng)絡(luò)安全防線的堅(jiān)實(shí)基礎(chǔ)。如何從根源處解決網(wǎng)絡(luò)安全及軟件安全問(wèn)題?

數(shù)據(jù)顯示，超過(guò)6成的安全漏洞均與代碼有關(guān)，而靜態(tài)代碼分析技術(shù)可以幫助用戶減少30-70%的安全漏洞，因此軟件開發(fā)時(shí)不斷檢測(cè)修復(fù)代碼缺陷，提高軟件安全性，是減少數(shù)據(jù)丟失的重要手段，也是加強(qiáng)網(wǎng)絡(luò)安全防線的基礎(chǔ)一步。隨著針對(duì)軟件安全漏洞的網(wǎng)絡(luò)攻擊事件及數(shù)據(jù)泄露事件頻繁發(fā)生，企業(yè)在做網(wǎng)絡(luò)安全建設(shè)的同時(shí)，更不可忽視確保靜態(tài)代碼安全的重要性。

參讀鏈接：

www.woocoom.com/b021.html?i…

thehackernews.com/2021/08/cri…