.markdown-body{word-break:break-word;line-height:1.75;font-weight:400;font-size:15px;overflow-x:hidden;color:#333}.markdown-body%20h1,.markdown-body%20h2,.markdown-body%20h3,.markdown-body%20h4,.markdown-body%20h5,.markdown-body%20h6{line-height:1.5;margin-top:35px;margin-bottom:10px;padding-bottom:5px}.markdown-body%20h1{font-size:30px;margin-bottom:5px}.markdown-body%20h2{padding-bottom:12px;font-size:24px;border-bottom:1px%20solid%20#ececec}.markdown-body%20h3{font-size:18px;padding-bottom:0}.markdown-body%20h4{font-size:16px}.markdown-body%20h5{font-size:15px}.markdown-body%20h6{margin-top:5px}.markdown-body%20p{line-height:inherit;margin-top:22px;margin-bottom:22px}.markdown-body%20img{max-width:100%}.markdown-body%20hr{border:none;border-top:1px%20solid%20#ffffd;margin-top:32px;margin-bottom:32px}.markdown-body%20code{word-break:break-word;border-radius:2px;overflow-x:auto;background-color:#fff5f5;color:#ff502c;font-size:.87em;padding:.065em%20.4em}.markdown-body%20code,.markdown-body%20pre{font-family:Menlo,Monaco,Consolas,Courier%20New,monospace}.markdown-body%20pre{overflow:auto;position:relative;line-height:1.75}.markdown-body%20pre>code{font-size:12px;padding:15px%2012px;margin:0;word-break:normal;display:block;overflow-x:auto;color:#333;background:#f8f8f8}.markdown-body%20a{text-decoration:none;color:#0269c8;border-bottom:1px%20solid%20#d1e9ff}.markdown-body%20a:active,.markdown-body%20a:hover{color:#275b8c}.markdown-body%20table{display:inline-block!important;font-size:12px;width:auto;max-width:100%;overflow:auto;border:1px%20solid%20#f6f6f6}.markdown-body%20thead{background:#f6f6f6;color:#000;text-align:left}.markdown-body%20tr:nth-child(2n){background-color:#fcfcfc}.markdown-body%20td,.markdown-body%20th{padding:12px%207px;line-height:24px}.markdown-body%20td{min-width:120px}.markdown-body%20blockquote{color:#666;padding:1px%2023px;margin:22px%200;border-left:4px%20solid%20#cbcbcb;background-color:#f8f8f8}.markdown-body%20blockquote:after{display:block;content:""}.markdown-body%20blockquote>p{margin:10px%200}.markdown-body%20ol,.markdown-body%20ul{padding-left:28px}.markdown-body%20ol%20li,.markdown-body%20ul%20li{margin-bottom:0;list-style:inherit}.markdown-body%20ol%20li%20.task-list-item,.markdown-body%20ul%20li%20.task-list-item{list-style:none}.markdown-body%20ol%20li%20.task-list-item%20ol,.markdown-body%20ol%20li%20.task-list-item%20ul,.markdown-body%20ul%20li%20.task-list-item%20ol,.markdown-body%20ul%20li%20.task-list-item%20ul{margin-top:0}.markdown-body%20ol%20ol,.markdown-body%20ol%20ul,.markdown-body%20ul%20ol,.markdown-body%20ul%20ul{margin-top:3px}.markdown-body%20ol%20li{padding-left:6px}.markdown-body%20.contains-task-list{padding-left:0}.markdown-body%20.task-list-item{list-style:none}@media%20(max-width:720px){.markdown-body%20h1{font-size:24px}.markdown-body%20h2{font-size:20px}.markdown-body%20h3{font-size:18px}}
上周四��,云基礎設施安全公司%20Wiz披露了一個現(xiàn)已修復的Azure%20Cosmos數(shù)據(jù)庫漏洞細節(jié)�,該漏洞可能被利用來授予任何Azure用戶對其他客戶數(shù)據(jù)庫實例的完全管理員訪問權限,而無需任何授權�����。
該漏洞授予讀取�����、寫入和刪除權限�����,被稱為“%20ChaosDB%20”���,Wiz%20研究人員指出���,“該漏洞不需要任何先前訪問目標環(huán)境的權限,并影響成千上萬的組織機構,包括許多《財富》500強公司�����?!?/p>
Cosmos%20DB是微軟專有的NoSQL數(shù)據(jù)庫,它被宣傳為“一個完全托管的服務”����,“通過自動管理、更新和補丁�,將數(shù)據(jù)庫管理從您的手中解放出來”。
Wiz研究團隊于8月12日向微軟報告了這一問題����,之后微軟在負責的披露后48小時內采取措施緩解了這一問題����,并于8月17日向發(fā)現(xiàn)者獎勵了4萬美元的獎金。
微軟在一份聲明中表示:“我們沒有跡象表明研究人員之外的外部實體訪問了與您的Azure%20Cosmos%20DB賬戶相關的主讀寫密鑰��?���!薄按送猓捎谶@個漏洞,我們不知道有任何數(shù)據(jù)訪問�����。如果啟用了vNET或防火墻的Azure%20Cosmos%20DB賬戶會受到額外的安全機制的保護����,以防止未經(jīng)授權的訪問風險?�!?/p>
Wiz發(fā)現(xiàn)的漏洞涉及Cosmos%20DB的Jupyter%20Notebook功能中的一系列漏洞����,使攻擊者能夠獲取目標Cosmos%20DB帳戶對應的憑據(jù),包括提供訪問數(shù)據(jù)庫帳戶管理資源的主鍵���。
研究人員表示:“使用這些憑證����,用戶可以通過多種渠道查看����、修改和刪除目標Cosmos DB賬戶中的數(shù)據(jù)?���!币虼?��,任何啟用了Jupyter Notebook特性的Cosmos DB資產(chǎn)都可能受到影響。
雖然微軟通知了超過30%的Cosmos DB客戶潛在的安全漏洞�,但Wiz預計實際的數(shù)字要高得多,因為該漏洞已經(jīng)被利用了幾個月���。
Wiz的研究人員指出:“每個Cosmos DB的客戶都應該假設自己已經(jīng)被曝光�����。并建議檢查一下你的Cosmos DB賬戶過去的所有活動���。”此外�,微軟還敦促它的客戶更新他們的Cosmos DB主密鑰���,以減少任何由缺陷引起的風險�����。
隨著全球數(shù)字化趨勢的來臨����,各行各業(yè)正在逐步進行數(shù)字化轉型,數(shù)據(jù)被看作創(chuàng)造價值的核心資產(chǎn)���。隨著信息化技術的高速發(fā)展�,大量業(yè)務數(shù)據(jù)持續(xù)遷移到網(wǎng)絡環(huán)境中�����,不法組織與個人正在覬覦數(shù)據(jù)資產(chǎn)���。
近年來�,國內外數(shù)據(jù)泄漏事件頻發(fā)���,F(xiàn)acebook數(shù)據(jù)泄露���、Uber用戶資料被盜、領英用戶數(shù)據(jù)暴露�����、等�����,這些事件涉及眾多行業(yè),且泄漏事件發(fā)生與發(fā)現(xiàn)的時間間隔普遍較長�����。IBM Security的一項研究報告顯示�,在2021年統(tǒng)計的五百多家企業(yè)中,發(fā)現(xiàn)并遏制數(shù)據(jù)泄露所需的平均時間為 287 天�����,平均每起數(shù)據(jù)泄露事件成本為424萬美元��,醫(yī)療行業(yè)的數(shù)據(jù)泄露成本最高(923 萬美元)��,其次是金融行業(yè)(572 萬美元)和制藥行業(yè)(504 萬美元)��。給企業(yè)和用戶造成了不可估量的經(jīng)濟及聲譽損失��,數(shù)據(jù)安全管理面臨嚴峻的考驗���。
而數(shù)據(jù)泄露的多數(shù)事件中都離不開安全漏洞,美國國家標準與技術局(NIST)����、國家漏洞數(shù)據(jù)庫(NVD)調查數(shù)據(jù)顯示�,90%以上的網(wǎng)絡安全問題是由軟件自身的安全漏洞被利用導致���,軟件安全的提高是筑牢網(wǎng)絡安全防線的堅實基礎����。如何從根源處解決網(wǎng)絡安全及軟件安全問題?
數(shù)據(jù)顯示�����,超過6成的安全漏洞均與代碼有關�,而靜態(tài)代碼分析技術可以幫助用戶減少30-70%的安全漏洞,因此軟件開發(fā)時不斷檢測修復代碼缺陷�,提高軟件安全性,是減少數(shù)據(jù)丟失的重要手段�����,也是加強網(wǎng)絡安全防線的基礎一步�����。隨著針對軟件安全漏洞的網(wǎng)絡攻擊事件及數(shù)據(jù)泄露事件頻繁發(fā)生�����,企業(yè)在做網(wǎng)絡安全建設的同時,更不可忽視確保靜態(tài)代碼安全的重要性�。
參讀鏈接:
www.woocoom.com/b021.html?i…
thehackernews.com/2021/08/cri…
