NoSQL數(shù)據(jù)庫漏洞可導致數(shù)據(jù)泄露 影響成千上萬Microsoft Azure客戶

上周四，云基礎設施安全公司 Wiz披露了一個現(xiàn)已修復的Azure Cosmos數(shù)據(jù)庫漏洞細節(jié)，該漏洞可能被利用來授予任何Azure用戶對其他客戶數(shù)據(jù)庫實例的完全管理員訪問權(quán)限，而無需任何授權(quán)。

該漏洞授予讀取、寫入和刪除權(quán)限，被稱為“ ChaosDB ”，Wiz 研究人員指出，“該漏洞不需要任何先前訪問目標環(huán)境的權(quán)限，并影響成千上萬的組織機構(gòu)，包括許多《財富》500強公司?！?/p>

Cosmos DB是微軟專有的NoSQL數(shù)據(jù)庫，它被宣傳為“一個完全托管的服務”，“通過自動管理、更新和補丁，將數(shù)據(jù)庫管理從您的手中解放出來”。

Wiz研究團隊于8月12日向微軟報告了這一問題，之后微軟在負責的披露后48小時內(nèi)采取措施緩解了這一問題，并于8月17日向發(fā)現(xiàn)者獎勵了4萬美元的獎金。

微軟在一份聲明中表示:“我們沒有跡象表明研究人員之外的外部實體訪問了與您的Azure Cosmos DB賬戶相關的主讀寫密鑰?！薄按送?，由于這個漏洞，我們不知道有任何數(shù)據(jù)訪問。如果啟用了vNET或防火墻的Azure Cosmos DB賬戶會受到額外的安全機制的保護，以防止未經(jīng)授權(quán)的訪問風險?！?/p>

Wiz發(fā)現(xiàn)的漏洞涉及Cosmos DB的Jupyter Notebook功能中的一系列漏洞，使攻擊者能夠獲取目標Cosmos DB帳戶對應的憑據(jù)，包括提供訪問數(shù)據(jù)庫帳戶管理資源的主鍵。

研究人員表示:“使用這些憑證，用戶可以通過多種渠道查看、修改和刪除目標Cosmos DB賬戶中的數(shù)據(jù)?！币虼耍魏螁⒂昧薐upyter Notebook特性的Cosmos DB資產(chǎn)都可能受到影響。

雖然微軟通知了超過30%的Cosmos DB客戶潛在的安全漏洞，但Wiz預計實際的數(shù)字要高得多，因為該漏洞已經(jīng)被利用了幾個月。

Wiz的研究人員指出:“每個Cosmos DB的客戶都應該假設自己已經(jīng)被曝光。并建議檢查一下你的Cosmos DB賬戶過去的所有活動。”此外，微軟還敦促它的客戶更新他們的Cosmos DB主密鑰，以減少任何由缺陷引起的風險。

隨著全球數(shù)字化趨勢的來臨，各行各業(yè)正在逐步進行數(shù)字化轉(zhuǎn)型，數(shù)據(jù)被看作創(chuàng)造價值的核心資產(chǎn)。隨著信息化技術(shù)的高速發(fā)展，大量業(yè)務數(shù)據(jù)持續(xù)遷移到網(wǎng)絡環(huán)境中，不法組織與個人正在覬覦數(shù)據(jù)資產(chǎn)。

近年來，國內(nèi)外數(shù)據(jù)泄漏事件頻發(fā)，F(xiàn)acebook數(shù)據(jù)泄露、Uber用戶資料被盜、領英用戶數(shù)據(jù)暴露、等，這些事件涉及眾多行業(yè)，且泄漏事件發(fā)生與發(fā)現(xiàn)的時間間隔普遍較長。IBM Security的一項研究報告顯示，在2021年統(tǒng)計的五百多家企業(yè)中，發(fā)現(xiàn)并遏制數(shù)據(jù)泄露所需的平均時間為 287 天，平均每起數(shù)據(jù)泄露事件成本為424萬美元，醫(yī)療行業(yè)的數(shù)據(jù)泄露成本最高(923 萬美元)，其次是金融行業(yè)(572 萬美元)和制藥行業(yè)(504 萬美元)。給企業(yè)和用戶造成了不可估量的經(jīng)濟及聲譽損失，數(shù)據(jù)安全管理面臨嚴峻的考驗。

而數(shù)據(jù)泄露的多數(shù)事件中都離不開安全漏洞，美國國家標準與技術(shù)局(NIST)、國家漏洞數(shù)據(jù)庫(NVD)調(diào)查數(shù)據(jù)顯示，90%以上的網(wǎng)絡安全問題是由軟件自身的安全漏洞被利用導致，軟件安全的提高是筑牢網(wǎng)絡安全防線的堅實基礎。如何從根源處解決網(wǎng)絡安全及軟件安全問題?

數(shù)據(jù)顯示，超過6成的安全漏洞均與代碼有關，而靜態(tài)代碼分析技術(shù)可以幫助用戶減少30-70%的安全漏洞，因此軟件開發(fā)時不斷檢測修復代碼缺陷，提高軟件安全性，是減少數(shù)據(jù)丟失的重要手段，也是加強網(wǎng)絡安全防線的基礎一步。隨著針對軟件安全漏洞的網(wǎng)絡攻擊事件及數(shù)據(jù)泄露事件頻繁發(fā)生，企業(yè)在做網(wǎng)絡安全建設的同時，更不可忽視確保靜態(tài)代碼安全的重要性。Wukong(悟空)靜態(tài)代碼檢測工具，從源碼開始，為您的軟件安全保駕護航!

參讀鏈接：

https://www.woocoom.com/b021.html?id=0de84564433b4125995800e4aefde5f8

https://thehackernews.com/2021/08/critical-cosmos-database-flaw-affected.html