NoSQL数据库漏洞可导致数据泄露 影响成千上万Microsoft Azure客户

上周四,云基础设施安全公司 Wiz披露了一个现已修复的Azure Cosmos数据库漏洞细节,该漏洞可能被利用来授予任何Azure用户对其他客户数据库实例的完全管理员访问权限,而无需任何授权。

该漏洞授予读取、写入和删除权限,被称为“ ChaosDB ”,Wiz 研究人员指出,“该漏洞不需要任何先前访问目标环境的权限,并影响成千上万的组织机构,包括许多《财富》500强公司。”

Cosmos DB是微软专有的NoSQL数据库,它被宣传为“一个完全托管的服务”,“通过自动管理、更新和补丁,将数据库管理从您的手中解放出来”。

Wiz研究团队于8月12日向微软报告了这一问题,之后微软在负责的披露后48小时内采取措施缓解了这一问题,并于8月17日向发现者奖励了4万美元的奖金。

微软在一份声明中表示:“我们没有迹象表明研究人员之外的外部实体访问了与您的Azure Cosmos DB账户相关的主读写密钥。”“此外,由于这个漏洞,我们不知道有任何数据访问。如果启用了vNET或防火墙的Azure Cosmos DB账户会受到额外的安全机制的保护,以防止未经授权的访问风险。”

Wiz发现的漏洞涉及Cosmos DB的Jupyter Notebook功能中的一系列漏洞,使攻击者能够获取目标Cosmos DB帐户对应的凭据,包括提供访问数据库帐户管理资源的主键。

数据库.gif

研究人员表示:“使用这些凭证,用户可以通过多种渠道查看、修改和删除目标Cosmos DB账户中的数据。”因此,任何启用了Jupyter Notebook特性的Cosmos DB资产都可能受到影响。

虽然微软通知了超过30%的Cosmos DB客户潜在的安全漏洞,但Wiz预计实际的数字要高得多,因为该漏洞已经被利用了几个月。

Wiz的研究人员指出:“每个Cosmos DB的客户都应该假设自己已经被曝光。并建议检查一下你的Cosmos DB账户过去的所有活动。”此外,微软还敦促它的客户更新他们的Cosmos DB主密钥,以减少任何由缺陷引起的风险。

随着全球数字化趋势的来临,各行各业正在逐步进行数字化转型,数据被看作创造价值的核心资产。随着信息化技术的高速发展,大量业务数据持续迁移到网络环境中,不法组织与个人正在觊觎数据资产。

近年来,国内外数据泄漏事件频发,Facebook数据泄露、Uber用户资料被盗、领英用户数据暴露、等,这些事件涉及众多行业,且泄漏事件发生与发现的时间间隔普遍较长。IBM Security的一项研究报告显示,在2021年统计的五百多家企业中,发现并遏制数据泄露所需的平均时间为 287 天,平均每起数据泄露事件成本为424万美元,医疗行业的数据泄露成本最高(923 万美元),其次是金融行业(572 万美元)和制药行业(504 万美元)。给企业和用户造成了不可估量的经济及声誉损失,数据安全管理面临严峻的考验。

而数据泄露的多数事件中都离不开安全漏洞,美国国家标准与技术局(NIST)、国家漏洞数据库(NVD)调查数据显示,90%以上的网络安全问题是由软件自身的安全漏洞被利用导致,软件安全的提高是筑牢网络安全防线的坚实基础。如何从根源处解决网络安全及软件安全问题?

数据显示,超过6成的安全漏洞均与代码有关,而静态代码分析技术可以帮助用户减少30-70%的安全漏洞,因此软件开发时不断检测修复代码缺陷,提高软件安全性,是减少数据丢失的重要手段,也是加强网络安全防线的基础一步。随着针对软件安全漏洞的网络攻击事件及数据泄露事件频繁发生,企业在做网络安全建设的同时,更不可忽视确保静态代码安全的重要性。

参读链接:

www.woocoom.com/b021.html?i…

thehackernews.com/2021/08/cri…