.markdown-body{word-break:break-word;line-height:1.75;font-weight:400;font-size:15px;overflow-x:hidden;color:#333}.markdown-body%20h1,.markdown-body%20h2,.markdown-body%20h3,.markdown-body%20h4,.markdown-body%20h5,.markdown-body%20h6{line-height:1.5;margin-top:35px;margin-bottom:10px;padding-bottom:5px}.markdown-body%20h1{font-size:30px;margin-bottom:5px}.markdown-body%20h2{padding-bottom:12px;font-size:24px;border-bottom:1px%20solid%20#ececec}.markdown-body%20h3{font-size:18px;padding-bottom:0}.markdown-body%20h4{font-size:16px}.markdown-body%20h5{font-size:15px}.markdown-body%20h6{margin-top:5px}.markdown-body%20p{line-height:inherit;margin-top:22px;margin-bottom:22px}.markdown-body%20img{max-width:100%}.markdown-body%20hr{border:none;border-top:1px%20solid%20#ffffd;margin-top:32px;margin-bottom:32px}.markdown-body%20code{word-break:break-word;border-radius:2px;overflow-x:auto;background-color:#fff5f5;color:#ff502c;font-size:.87em;padding:.065em%20.4em}.markdown-body%20code,.markdown-body%20pre{font-family:Menlo,Monaco,Consolas,Courier%20New,monospace}.markdown-body%20pre{overflow:auto;position:relative;line-height:1.75}.markdown-body%20pre>code{font-size:12px;padding:15px%2012px;margin:0;word-break:normal;display:block;overflow-x:auto;color:#333;background:#f8f8f8}.markdown-body%20a{text-decoration:none;color:#0269c8;border-bottom:1px%20solid%20#d1e9ff}.markdown-body%20a:active,.markdown-body%20a:hover{color:#275b8c}.markdown-body%20table{display:inline-block!important;font-size:12px;width:auto;max-width:100%;overflow:auto;border:1px%20solid%20#f6f6f6}.markdown-body%20thead{background:#f6f6f6;color:#000;text-align:left}.markdown-body%20tr:nth-child(2n){background-color:#fcfcfc}.markdown-body%20td,.markdown-body%20th{padding:12px%207px;line-height:24px}.markdown-body%20td{min-width:120px}.markdown-body%20blockquote{color:#666;padding:1px%2023px;margin:22px%200;border-left:4px%20solid%20#cbcbcb;background-color:#f8f8f8}.markdown-body%20blockquote:after{display:block;content:""}.markdown-body%20blockquote>p{margin:10px%200}.markdown-body%20ol,.markdown-body%20ul{padding-left:28px}.markdown-body%20ol%20li,.markdown-body%20ul%20li{margin-bottom:0;list-style:inherit}.markdown-body%20ol%20li%20.task-list-item,.markdown-body%20ul%20li%20.task-list-item{list-style:none}.markdown-body%20ol%20li%20.task-list-item%20ol,.markdown-body%20ol%20li%20.task-list-item%20ul,.markdown-body%20ul%20li%20.task-list-item%20ol,.markdown-body%20ul%20li%20.task-list-item%20ul{margin-top:0}.markdown-body%20ol%20ol,.markdown-body%20ol%20ul,.markdown-body%20ul%20ol,.markdown-body%20ul%20ul{margin-top:3px}.markdown-body%20ol%20li{padding-left:6px}.markdown-body%20.contains-task-list{padding-left:0}.markdown-body%20.task-list-item{list-style:none}@media%20(max-width:720px){.markdown-body%20h1{font-size:24px}.markdown-body%20h2{font-size:20px}.markdown-body%20h3{font-size:18px}}
上周四��,云基礎設施安全公司%20Wiz披露了一個現(xiàn)已修復的Azure%20Cosmos數(shù)據(jù)庫漏洞細節(jié)���,該漏洞可能被利用來授予任何Azure用戶對其他客戶數(shù)據(jù)庫實例的完全管理員訪問權限���,而無需任何授權�。
該漏洞授予讀取�����、寫入和刪除權限�����,被稱為“%20ChaosDB%20”��,Wiz%20研究人員指出�����,“該漏洞不需要任何先前訪問目標環(huán)境的權限�����,并影響成千上萬的組織機構��,包括許多《財富》500強公司���。”
Cosmos%20DB是微軟專有的NoSQL數(shù)據(jù)庫�,它被宣傳為“一個完全托管的服務”��,“通過自動管理�、更新和補丁��,將數(shù)據(jù)庫管理從您的手中解放出來”�。
Wiz研究團隊于8月12日向微軟報告了這一問題,之后微軟在負責的披露后48小時內采取措施緩解了這一問題��,并于8月17日向發(fā)現(xiàn)者獎勵了4萬美元的獎金�����。
微軟在一份聲明中表示:“我們沒有跡象表明研究人員之外的外部實體訪問了與您的Azure%20Cosmos%20DB賬戶相關的主讀寫密鑰����。”“此外����,由于這個漏洞,我們不知道有任何數(shù)據(jù)訪問��。如果啟用了vNET或防火墻的Azure%20Cosmos%20DB賬戶會受到額外的安全機制的保護����,以防止未經授權的訪問風險����?���!?/p>
Wiz發(fā)現(xiàn)的漏洞涉及Cosmos%20DB的Jupyter%20Notebook功能中的一系列漏洞,使攻擊者能夠獲取目標Cosmos%20DB帳戶對應的憑據(jù)�,包括提供訪問數(shù)據(jù)庫帳戶管理資源的主鍵。
研究人員表示:“使用這些憑證��,用戶可以通過多種渠道查看����、修改和刪除目標Cosmos DB賬戶中的數(shù)據(jù)?��!币虼?,任何啟用了Jupyter Notebook特性的Cosmos DB資產都可能受到影響����。
雖然微軟通知了超過30%的Cosmos DB客戶潛在的安全漏洞,但Wiz預計實際的數(shù)字要高得多��,因為該漏洞已經被利用了幾個月�。
Wiz的研究人員指出:“每個Cosmos DB的客戶都應該假設自己已經被曝光�。并建議檢查一下你的Cosmos DB賬戶過去的所有活動��?�!贝送?����,微軟還敦促它的客戶更新他們的Cosmos DB主密鑰�,以減少任何由缺陷引起的風險����。
隨著全球數(shù)字化趨勢的來臨,各行各業(yè)正在逐步進行數(shù)字化轉型���,數(shù)據(jù)被看作創(chuàng)造價值的核心資產����。隨著信息化技術的高速發(fā)展��,大量業(yè)務數(shù)據(jù)持續(xù)遷移到網絡環(huán)境中�,不法組織與個人正在覬覦數(shù)據(jù)資產。
近年來����,國內外數(shù)據(jù)泄漏事件頻發(fā)���,F(xiàn)acebook數(shù)據(jù)泄露、Uber用戶資料被盜���、領英用戶數(shù)據(jù)暴露���、等,這些事件涉及眾多行業(yè)���,且泄漏事件發(fā)生與發(fā)現(xiàn)的時間間隔普遍較長�。IBM Security的一項研究報告顯示���,在2021年統(tǒng)計的五百多家企業(yè)中�,發(fā)現(xiàn)并遏制數(shù)據(jù)泄露所需的平均時間為 287 天��,平均每起數(shù)據(jù)泄露事件成本為424萬美元����,醫(yī)療行業(yè)的數(shù)據(jù)泄露成本最高(923 萬美元),其次是金融行業(yè)(572 萬美元)和制藥行業(yè)(504 萬美元)。給企業(yè)和用戶造成了不可估量的經濟及聲譽損失���,數(shù)據(jù)安全管理面臨嚴峻的考驗�。
而數(shù)據(jù)泄露的多數(shù)事件中都離不開安全漏洞��,美國國家標準與技術局(NIST)����、國家漏洞數(shù)據(jù)庫(NVD)調查數(shù)據(jù)顯示�����,90%以上的網絡安全問題是由軟件自身的安全漏洞被利用導致�,軟件安全的提高是筑牢網絡安全防線的堅實基礎。如何從根源處解決網絡安全及軟件安全問題?
數(shù)據(jù)顯示���,超過6成的安全漏洞均與代碼有關�����,而靜態(tài)代碼分析技術可以幫助用戶減少30-70%的安全漏洞���,因此軟件開發(fā)時不斷檢測修復代碼缺陷,提高軟件安全性,是減少數(shù)據(jù)丟失的重要手段���,也是加強網絡安全防線的基礎一步����。隨著針對軟件安全漏洞的網絡攻擊事件及數(shù)據(jù)泄露事件頻繁發(fā)生���,企業(yè)在做網絡安全建設的同時�,更不可忽視確保靜態(tài)代碼安全的重要性�。
參讀鏈接:
www.woocoom.com/b021.html?i…
thehackernews.com/2021/08/cri…
