NoSQL資料庫漏洞可導致資料洩露 影響成千上萬Microsoft Azure客戶

上週四，雲基礎設施安全公司 Wiz披露了一個現已修復的Azure Cosmos資料庫漏洞細節，該漏洞可能被利用來授予任何Azure使用者對其他客戶資料庫例項的完全管理員訪問許可權，而無需任何授權。

該漏洞授予讀取、寫入和刪除許可權，被稱為“ ChaosDB ”，Wiz 研究人員指出，“該漏洞不需要任何先前訪問目標環境的許可權，並影響成千上萬的組織機構，包括許多《財富》500強公司。”

Cosmos DB是微軟專有的NoSQL資料庫，它被宣傳為“一個完全託管的服務”，“透過自動管理、更新和補丁，將資料庫管理從您的手中解放出來”。

Wiz研究團隊於8月12日向微軟報告了這一問題，之後微軟在負責的披露後48小時內採取措施緩解了這一問題，並於8月17日向發現者獎勵了4萬美元的獎金。

微軟在一份宣告中表示:“我們沒有跡象表明研究人員之外的外部實體訪問了與您的Azure Cosmos DB賬戶相關的主讀寫金鑰。”“此外，由於這個漏洞，我們不知道有任何資料訪問。如果啟用了vNET或防火牆的Azure Cosmos DB賬戶會受到額外的安全機制的保護，以防止未經授權的訪問風險。”

Wiz發現的漏洞涉及Cosmos DB的Jupyter Notebook功能中的一系列漏洞，使攻擊者能夠獲取目標Cosmos DB帳戶對應的憑據，包括提供訪問資料庫帳戶管理資源的主鍵。

研究人員表示:“使用這些憑證，使用者可以透過多種渠道檢視、修改和刪除目標Cosmos DB賬戶中的資料。”因此，任何啟用了Jupyter Notebook特性的Cosmos DB資產都可能受到影響。

雖然微軟通知了超過30%的Cosmos DB客戶潛在的安全漏洞，但Wiz預計實際的數字要高得多，因為該漏洞已經被利用了幾個月。

Wiz的研究人員指出:“每個Cosmos DB的客戶都應該假設自己已經被曝光。並建議檢查一下你的Cosmos DB賬戶過去的所有活動。”此外，微軟還敦促它的客戶更新他們的Cosmos DB主金鑰，以減少任何由缺陷引起的風險。

隨著全球數字化趨勢的來臨，各行各業正在逐步進行數字化轉型，資料被看作創造價值的核心資產。隨著資訊化技術的高速發展，大量業務資料持續遷移到網路環境中，不法組織與個人正在覬覦資料資產。

近年來，國內外資料洩漏事件頻發，Facebook資料洩露、Uber使用者資料被盜、領英使用者資料暴露、等，這些事件涉及眾多行業，且洩漏事件發生與發現的時間間隔普遍較長。IBM Security的一項研究報告顯示，在2021年統計的五百多家企業中，發現並遏制資料洩露所需的平均時間為 287 天，平均每起資料洩露事件成本為424萬美元，醫療行業的資料洩露成本最高(923 萬美元)，其次是金融行業(572 萬美元)和製藥行業(504 萬美元)。給企業和使用者造成了不可估量的經濟及聲譽損失，資料安全管理面臨嚴峻的考驗。

而資料洩露的多數事件中都離不開安全漏洞，美國國家標準與技術局(NIST)、國家漏洞資料庫(NVD)調查資料顯示，90%以上的網路安全問題是由軟體自身的安全漏洞被利用導致，軟體安全的提高是築牢網路安全防線的堅實基礎。如何從根源處解決網路安全及軟體安全問題?

資料顯示，超過6成的安全漏洞均與程式碼有關，而 靜態分析技術可以幫助使用者減少30-70%的安全漏洞，因此軟體開發時不斷檢測修復程式碼缺陷，提高軟體安全性，是減少資料丟失的重要手段，也是加強網路安全防線的基礎一步。隨著針對軟體安全漏洞的網路攻擊事件及資料洩露事件頻繁發生，企業在做網路安全建設的同時，更不可忽視確保靜態程式碼安全的重要性。Wukong(悟空)靜態程式碼檢測工具，從原始碼開始，為您的軟體安全保駕護航!

參讀連結：