NoSQL資料庫漏洞可導致資料洩露 影響成千上萬Microsoft Azure客戶
上週四,雲基礎設施安全公司 Wiz披露了一個現已修復的Azure Cosmos資料庫漏洞細節,該漏洞可能被利用來授予任何Azure使用者對其他客戶資料庫例項的完全管理員訪問許可權,而無需任何授權。
該漏洞授予讀取、寫入和刪除許可權,被稱為“ ChaosDB ”,Wiz 研究人員指出,“該漏洞不需要任何先前訪問目標環境的許可權,並影響成千上萬的組織機構,包括許多《財富》500強公司。”
Cosmos DB是微軟專有的NoSQL資料庫,它被宣傳為“一個完全託管的服務”,“透過自動管理、更新和補丁,將資料庫管理從您的手中解放出來”。
Wiz研究團隊於8月12日向微軟報告了這一問題,之後微軟在負責的披露後48小時內採取措施緩解了這一問題,並於8月17日向發現者獎勵了4萬美元的獎金。
微軟在一份宣告中表示:“我們沒有跡象表明研究人員之外的外部實體訪問了與您的Azure Cosmos DB賬戶相關的主讀寫金鑰。”“此外,由於這個漏洞,我們不知道有任何資料訪問。如果啟用了vNET或防火牆的Azure Cosmos DB賬戶會受到額外的安全機制的保護,以防止未經授權的訪問風險。”
Wiz發現的漏洞涉及Cosmos DB的Jupyter Notebook功能中的一系列漏洞,使攻擊者能夠獲取目標Cosmos DB帳戶對應的憑據,包括提供訪問資料庫帳戶管理資源的主鍵。
研究人員表示:“使用這些憑證,使用者可以透過多種渠道檢視、修改和刪除目標Cosmos DB賬戶中的資料。”因此,任何啟用了Jupyter Notebook特性的Cosmos DB資產都可能受到影響。
雖然微軟通知了超過30%的Cosmos DB客戶潛在的安全漏洞,但Wiz預計實際的數字要高得多,因為該漏洞已經被利用了幾個月。
Wiz的研究人員指出:“每個Cosmos DB的客戶都應該假設自己已經被曝光。並建議檢查一下你的Cosmos DB賬戶過去的所有活動。”此外,微軟還敦促它的客戶更新他們的Cosmos DB主金鑰,以減少任何由缺陷引起的風險。
隨著全球數字化趨勢的來臨,各行各業正在逐步進行數字化轉型,資料被看作創造價值的核心資產。隨著資訊化技術的高速發展,大量業務資料持續遷移到網路環境中,不法組織與個人正在覬覦資料資產。
近年來,國內外資料洩漏事件頻發,Facebook資料洩露、Uber使用者資料被盜、領英使用者資料暴露、等,這些事件涉及眾多行業,且洩漏事件發生與發現的時間間隔普遍較長。IBM Security的一項研究報告顯示,在2021年統計的五百多家企業中,發現並遏制資料洩露所需的平均時間為 287 天,平均每起資料洩露事件成本為424萬美元,醫療行業的資料洩露成本最高(923 萬美元),其次是金融行業(572 萬美元)和製藥行業(504 萬美元)。給企業和使用者造成了不可估量的經濟及聲譽損失,資料安全管理面臨嚴峻的考驗。
而資料洩露的多數事件中都離不開安全漏洞,美國國家標準與技術局(NIST)、國家漏洞資料庫(NVD)調查資料顯示,90%以上的網路安全問題是由軟體自身的安全漏洞被利用導致,軟體安全的提高是築牢網路安全防線的堅實基礎。如何從根源處解決網路安全及軟體安全問題?
資料顯示,超過6成的安全漏洞均與程式碼有關,而 靜態分析技術可以幫助使用者減少30-70%的安全漏洞,因此軟體開發時不斷檢測修復程式碼缺陷,提高軟體安全性,是減少資料丟失的重要手段,也是加強網路安全防線的基礎一步。隨著針對軟體安全漏洞的網路攻擊事件及資料洩露事件頻繁發生,企業在做網路安全建設的同時,更不可忽視確保靜態程式碼安全的重要性。Wukong(悟空)靜態程式碼檢測工具,從原始碼開始,為您的軟體安全保駕護航!
參讀連結:
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/70000012/viewspace-2789389/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 微軟配置錯誤導致大量敏感資料洩露,全球客戶受影響微軟
- Block披露其影響820萬客戶的資料洩露事件BloC事件
- 菲律賓金融服務公司資料洩露 影響90萬客戶
- 什麼是資料洩露?哪些問題可導致資料洩露
- MongoDB資料庫因安全漏洞,導致Family Locator洩露二十多萬名使用者資料MongoDB資料庫
- 英國電信企業Virgin Media營銷資料庫配置錯誤 導致90萬客戶資訊洩露資料庫
- JPEG影象也可導致資料洩露?Facebook修復HHVM伺服器漏洞伺服器
- Spectre同型別漏洞NetCAT來襲,可導致英特爾CPU私密資料洩露型別
- Citrix NetScaler多重漏洞導致DoS攻擊和資料洩露
- EskyFun資料洩露,超過100萬Android玩家受到影響Android
- 導致資料洩露的 6 個疏忽
- 香港寬頻公司一資料庫被黑:38萬名客戶資訊恐洩露資料庫
- 加拿大信用合作社巨頭Desjardins資料洩露超過預期,影響420萬客戶JAR
- SaltStack RCE危急漏洞(CVSS得分10)影響成千上萬的資料中心
- 推特零日漏洞遭利用, 540萬個賬戶資料洩露
- 開放資料庫洩露425GB客戶資料;GitHub宣佈收購npm資料庫GithubNPM
- AMD、蘋果、高通GPU存在漏洞,可致AI模型訓練資料洩露蘋果GPUAI模型
- 資料洩露大事件 | 價值數十億美元客戶資料曝光事件
- CRM系統資料庫是如何影響客戶體驗的?資料庫
- 南非再曝資料庫洩露事件:致百萬人資訊大白資料庫事件
- 叫車應用Careem資料遭洩露 受影響使用者達1400萬
- 傳聞美的被病毒勒索千萬美元 | 英特爾處理器曝新型漏洞,可導致機密資料洩露
- NoSQL資料庫概念與NoSQL資料庫家族SQL資料庫
- 主流資料庫和 NoSQL 的 Rust 客戶端驅動程式資料庫SQLRust客戶端
- Facebook:不會賠償270萬受資料洩露影響的歐洲使用者
- 欄位級資料庫加密推出;瑞幸股價暴跌;Zoom漏洞可洩露照片資料庫加密OOM
- NoSql資料庫SQL資料庫
- SnappyDB—Android上的NoSQL資料庫APPAndroidSQL資料庫
- 聯合國資料庫暴露,超10萬僱員資訊洩露資料庫
- T-Mobile證實資料洩露但客戶暫無風險
- 微軟資料洩露暴露全球111個國家超6.5萬實體的客戶個人資訊微軟
- 專案資料視覺化對甲方客戶的影響視覺化
- 如何防止內部人員誤操作和病毒導致的資料洩露
- 可口可樂遭洩露161GB資料
- 利用Exchange漏洞入侵安插後門,小心資料洩露
- APP資料洩露漏洞該如何修復和加固APP
- 防範重要資料和公民資訊洩露之資料庫安全資料庫
- Voipo發生嚴重的資料洩露事件:價值數十億美元的客戶資料被曝光事件