0
| 本文作者: 肖漫 | 2021-08-28 14:52 |
外媒 The verge 報(bào)道,微軟云服務(wù) Azure 的旗艦數(shù)據(jù)庫(kù) Cosmos 存在安全漏洞,網(wǎng)絡(luò)入侵者可能借此讀取、更改甚至他們的主數(shù)據(jù)庫(kù)。
“這是你能想象到的最嚴(yán)重的云漏洞,”發(fā)現(xiàn)該問(wèn)題的安全公司 Wiz 的首席技術(shù)官 Ami Luttwak 表示,“這是 Azure 的中央數(shù)據(jù)庫(kù),入侵者可以訪(fǎng)問(wèn)任何想要的客戶(hù)數(shù)據(jù)庫(kù)。”
據(jù)路透社報(bào)道,由于 Wiz 發(fā)現(xiàn)了這一重要漏洞,微軟為此支付了 4 萬(wàn)美元。
雷鋒網(wǎng)了解到,此次出現(xiàn)漏洞缺陷是微軟 Azure Cosmos DB 數(shù)據(jù)庫(kù)產(chǎn)品,涉及 Azure 用戶(hù)超過(guò) 3300 個(gè)。
據(jù)悉,該漏洞是微軟 2019 年在 Cosmos DB 中添加了名為 Jupyter Notebook 的數(shù)據(jù)可視化功能時(shí)引入的,2021 年 2 月,該功能在所有 Cosmos db 中默認(rèn)開(kāi)啟。
值得一提的是,除微軟外,Azure Cosmos DB 的客戶(hù)還包括可口可樂(lè)、利寶互助保險(xiǎn)(Liberty Mutual Insurance))、埃克森美孚(ExxonMobil)和沃爾格林(Walgreens)等公司。
得知漏洞后,微軟安全響應(yīng)中心發(fā)布一份聲明更新表示,公司已進(jìn)行包括查看日志、以發(fā)現(xiàn)任何當(dāng)前的活動(dòng)或過(guò)去的類(lèi)似事件等司法調(diào)查,結(jié)果顯示,除了發(fā)現(xiàn)漏洞的 Wiz,沒(méi)有出現(xiàn)其他外部實(shí)體未經(jīng)授權(quán)的訪(fǎng)問(wèn)。
同時(shí),微軟方面表示,Azure 的漏洞已經(jīng)被修復(fù)。但 Wiz 警告稱(chēng),即使微軟已經(jīng)完成了漏洞修補(bǔ),用戶(hù)也應(yīng)該全面替換他們的密鑰——現(xiàn)有的密鑰,入侵者仍可用于訪(fǎng)問(wèn)他們的數(shù)據(jù)。
近年來(lái),安全隱患已成為越來(lái)越多科技公司的不得不面對(duì)和解決的難題,微軟也曾多次被勒索軟件攻擊——去年年底發(fā)生的 SolarWinds 攻擊事件中,黑客甚至竊取了微軟的源代碼。
微軟不是受漏洞、安全攻擊影響的第一個(gè),也不會(huì)是最后一個(gè)。
網(wǎng)絡(luò)攻擊也不僅僅面向科技公司,政府部門(mén)也同樣難逃其擾,甚至于,一些網(wǎng)絡(luò)攻擊已經(jīng)開(kāi)始影響到民生問(wèn)題——今年 5 月,美國(guó)油氣管道公司 Colonial Pipeline 遭黑客攻擊,導(dǎo)致美國(guó)部分地區(qū)一度出現(xiàn)天然氣短缺。
由于頻現(xiàn)網(wǎng)絡(luò)安全問(wèn)題,美國(guó)方面也開(kāi)始采取行動(dòng)。
今年 5 月,拜登簽署了一項(xiàng)加強(qiáng)政府軟件安全的行政命令,要求 IT 服務(wù)提供商報(bào)告可能影響美國(guó)網(wǎng)絡(luò)的攻擊,并精簡(jiǎn)信息共享流程。
另外,有外媒指出,美國(guó)政府在本月召開(kāi)會(huì)議探討加強(qiáng)網(wǎng)絡(luò)安全的具體措施。相關(guān)美國(guó)官員表示,美國(guó)需要進(jìn)行系統(tǒng)性升級(jí),讓網(wǎng)絡(luò)安全內(nèi)置到所有技術(shù)之中。
同時(shí),該會(huì)議還針對(duì)美國(guó)關(guān)鍵基礎(chǔ)設(shè)施存在的漏洞,以及美國(guó)網(wǎng)絡(luò)安全部門(mén)存在的 50 萬(wàn)個(gè)職位空缺進(jìn)行商討。
為響應(yīng)白宮的號(hào)召,微軟方面也作出了承諾——將在未來(lái)五年內(nèi)投入 200 億美元來(lái)提供更先進(jìn)的安全工具,投資 1.5 億美元幫助政府機(jī)構(gòu)升級(jí)安全系統(tǒng),并擴(kuò)大網(wǎng)絡(luò)安全培訓(xùn)合作伙伴關(guān)系。
參考鏈接:雷鋒網(wǎng)雷鋒網(wǎng)
【1】https://msrc-blog.microsoft.com/2021/08/27/update-on-vulnerability-in-the-azure-cosmos-db-jupyter-notebook-feature/
【2】https://www.theverge.com/2021/8/27/22644161/microsoft-azure-database-vulnerabilty-chaosdb
雷峰網(wǎng)原創(chuàng)文章,未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。
