.markdown-body{word-break:break-word;line-height:1.75;font-weight:400;font-size:15px;overflow-x:hidden;color:#333}.markdown-body%20h1,.markdown-body%20h2,.markdown-body%20h3,.markdown-body%20h4,.markdown-body%20h5,.markdown-body%20h6{line-height:1.5;margin-top:35px;margin-bottom:10px;padding-bottom:5px}.markdown-body%20h1{font-size:30px;margin-bottom:5px}.markdown-body%20h2{padding-bottom:12px;font-size:24px;border-bottom:1px%20solid%20#ececec}.markdown-body%20h3{font-size:18px;padding-bottom:0}.markdown-body%20h4{font-size:16px}.markdown-body%20h5{font-size:15px}.markdown-body%20h6{margin-top:5px}.markdown-body%20p{line-height:inherit;margin-top:22px;margin-bottom:22px}.markdown-body%20img{max-width:100%}.markdown-body%20hr{border:none;border-top:1px%20solid%20#ffffd;margin-top:32px;margin-bottom:32px}.markdown-body%20code{word-break:break-word;border-radius:2px;overflow-x:auto;background-color:#fff5f5;color:#ff502c;font-size:.87em;padding:.065em%20.4em}.markdown-body%20code,.markdown-body%20pre{font-family:Menlo,Monaco,Consolas,Courier%20New,monospace}.markdown-body%20pre{overflow:auto;position:relative;line-height:1.75}.markdown-body%20pre>code{font-size:12px;padding:15px%2012px;margin:0;word-break:normal;display:block;overflow-x:auto;color:#333;background:#f8f8f8}.markdown-body%20a{text-decoration:none;color:#0269c8;border-bottom:1px%20solid%20#d1e9ff}.markdown-body%20a:active,.markdown-body%20a:hover{color:#275b8c}.markdown-body%20table{display:inline-block!important;font-size:12px;width:auto;max-width:100%;overflow:auto;border:1px%20solid%20#f6f6f6}.markdown-body%20thead{background:#f6f6f6;color:#000;text-align:left}.markdown-body%20tr:nth-child(2n){background-color:#fcfcfc}.markdown-body%20td,.markdown-body%20th{padding:12px%207px;line-height:24px}.markdown-body%20td{min-width:120px}.markdown-body%20blockquote{color:#666;padding:1px%2023px;margin:22px%200;border-left:4px%20solid%20#cbcbcb;background-color:#f8f8f8}.markdown-body%20blockquote:after{display:block;content:""}.markdown-body%20blockquote>p{margin:10px%200}.markdown-body%20ol,.markdown-body%20ul{padding-left:28px}.markdown-body%20ol%20li,.markdown-body%20ul%20li{margin-bottom:0;list-style:inherit}.markdown-body%20ol%20li%20.task-list-item,.markdown-body%20ul%20li%20.task-list-item{list-style:none}.markdown-body%20ol%20li%20.task-list-item%20ol,.markdown-body%20ol%20li%20.task-list-item%20ul,.markdown-body%20ul%20li%20.task-list-item%20ol,.markdown-body%20ul%20li%20.task-list-item%20ul{margin-top:0}.markdown-body%20ol%20ol,.markdown-body%20ol%20ul,.markdown-body%20ul%20ol,.markdown-body%20ul%20ul{margin-top:3px}.markdown-body%20ol%20li{padding-left:6px}.markdown-body%20.contains-task-list{padding-left:0}.markdown-body%20.task-list-item{list-style:none}@media%20(max-width:720px){.markdown-body%20h1{font-size:24px}.markdown-body%20h2{font-size:20px}.markdown-body%20h3{font-size:18px}}
上周四,云基础设施安全公司%20Wiz披露了一个现已修复的Azure%20Cosmos数据库漏洞细节,该漏洞可能被利用来授予任何Azure用户对其他客户数据库实例的完全管理员访问权限,而无需任何授权。
该漏洞授予读取、写入和删除权限,被称为“%20ChaosDB%20”,Wiz%20研究人员指出,“该漏洞不需要任何先前访问目标环境的权限,并影响成千上万的组织机构,包括许多《财富》500强公司。”
Cosmos%20DB是微软专有的NoSQL数据库,它被宣传为“一个完全托管的服务”,“通过自动管理、更新和补丁,将数据库管理从您的手中解放出来”。
Wiz研究团队于8月12日向微软报告了这一问题,之后微软在负责的披露后48小时内采取措施缓解了这一问题,并于8月17日向发现者奖励了4万美元的奖金。
微软在一份声明中表示:“我们没有迹象表明研究人员之外的外部实体访问了与您的Azure%20Cosmos%20DB账户相关的主读写密钥。”“此外,由于这个漏洞,我们不知道有任何数据访问。如果启用了vNET或防火墙的Azure%20Cosmos%20DB账户会受到额外的安全机制的保护,以防止未经授权的访问风险。”
Wiz发现的漏洞涉及Cosmos%20DB的Jupyter%20Notebook功能中的一系列漏洞,使攻击者能够获取目标Cosmos%20DB帐户对应的凭据,包括提供访问数据库帐户管理资源的主键。
研究人员表示:“使用这些凭证,用户可以通过多种渠道查看、修改和删除目标Cosmos DB账户中的数据。”因此,任何启用了Jupyter Notebook特性的Cosmos DB资产都可能受到影响。
虽然微软通知了超过30%的Cosmos DB客户潜在的安全漏洞,但Wiz预计实际的数字要高得多,因为该漏洞已经被利用了几个月。
Wiz的研究人员指出:“每个Cosmos DB的客户都应该假设自己已经被曝光。并建议检查一下你的Cosmos DB账户过去的所有活动。”此外,微软还敦促它的客户更新他们的Cosmos DB主密钥,以减少任何由缺陷引起的风险。
随着全球数字化趋势的来临,各行各业正在逐步进行数字化转型,数据被看作创造价值的核心资产。随着信息化技术的高速发展,大量业务数据持续迁移到网络环境中,不法组织与个人正在觊觎数据资产。
近年来,国内外数据泄漏事件频发,Facebook数据泄露、Uber用户资料被盗、领英用户数据暴露、等,这些事件涉及众多行业,且泄漏事件发生与发现的时间间隔普遍较长。IBM Security的一项研究报告显示,在2021年统计的五百多家企业中,发现并遏制数据泄露所需的平均时间为 287 天,平均每起数据泄露事件成本为424万美元,医疗行业的数据泄露成本最高(923 万美元),其次是金融行业(572 万美元)和制药行业(504 万美元)。给企业和用户造成了不可估量的经济及声誉损失,数据安全管理面临严峻的考验。
而数据泄露的多数事件中都离不开安全漏洞,美国国家标准与技术局(NIST)、国家漏洞数据库(NVD)调查数据显示,90%以上的网络安全问题是由软件自身的安全漏洞被利用导致,软件安全的提高是筑牢网络安全防线的坚实基础。如何从根源处解决网络安全及软件安全问题?
数据显示,超过6成的安全漏洞均与代码有关,而静态代码分析技术可以帮助用户减少30-70%的安全漏洞,因此软件开发时不断检测修复代码缺陷,提高软件安全性,是减少数据丢失的重要手段,也是加强网络安全防线的基础一步。随着针对软件安全漏洞的网络攻击事件及数据泄露事件频繁发生,企业在做网络安全建设的同时,更不可忽视确保静态代码安全的重要性。
参读链接:
www.woocoom.com/b021.html?i…
thehackernews.com/2021/08/cri…
