NoSQL数据库漏洞可导致数据泄露 影响成千上万Microsoft Azure客户

上周四，云基础设施安全公司 Wiz披露了一个现已修复的Azure Cosmos数据库漏洞细节，该漏洞可能被利用来授予任何Azure用户对其他客户数据库实例的完全管理员访问权限，而无需任何授权。

该漏洞授予读取、写入和删除权限，被称为“ ChaosDB ”，Wiz 研究人员指出，“该漏洞不需要任何先前访问目标环境的权限，并影响成千上万的组织机构，包括许多《财富》500强公司。”

Cosmos DB是微软专有的NoSQL数据库，它被宣传为“一个完全托管的服务”，“通过自动管理、更新和补丁，将数据库管理从您的手中解放出来”。

Wiz研究团队于8月12日向微软报告了这一问题，之后微软在负责的披露后48小时内采取措施缓解了这一问题，并于8月17日向发现者奖励了4万美元的奖金。

微软在一份声明中表示:“我们没有迹象表明研究人员之外的外部实体访问了与您的Azure Cosmos DB账户相关的主读写密钥。”“此外，由于这个漏洞，我们不知道有任何数据访问。如果启用了vNET或防火墙的Azure Cosmos DB账户会受到额外的安全机制的保护，以防止未经授权的访问风险。”

Wiz发现的漏洞涉及Cosmos DB的Jupyter Notebook功能中的一系列漏洞，使攻击者能够获取目标Cosmos DB帐户对应的凭据，包括提供访问数据库帐户管理资源的主键。

研究人员表示:“使用这些凭证，用户可以通过多种渠道查看、修改和删除目标Cosmos DB账户中的数据。”因此，任何启用了Jupyter Notebook特性的Cosmos DB资产都可能受到影响。

虽然微软通知了超过30%的Cosmos DB客户潜在的安全漏洞，但Wiz预计实际的数字要高得多，因为该漏洞已经被利用了几个月。

Wiz的研究人员指出:“每个Cosmos DB的客户都应该假设自己已经被曝光。并建议检查一下你的Cosmos DB账户过去的所有活动。”此外，微软还敦促它的客户更新他们的Cosmos DB主密钥，以减少任何由缺陷引起的风险。

随着全球数字化趋势的来临，各行各业正在逐步进行数字化转型，数据被看作创造价值的核心资产。随着信息化技术的高速发展，大量业务数据持续迁移到网络环境中，不法组织与个人正在觊觎数据资产。

近年来，国内外数据泄漏事件频发，Facebook数据泄露、Uber用户资料被盗、领英用户数据暴露、等，这些事件涉及众多行业，且泄漏事件发生与发现的时间间隔普遍较长。IBM Security的一项研究报告显示，在2021年统计的五百多家企业中，发现并遏制数据泄露所需的平均时间为 287 天，平均每起数据泄露事件成本为424万美元，医疗行业的数据泄露成本最高(923 万美元)，其次是金融行业(572 万美元)和制药行业(504 万美元)。给企业和用户造成了不可估量的经济及声誉损失，数据安全管理面临严峻的考验。

而数据泄露的多数事件中都离不开安全漏洞，美国国家标准与技术局(NIST)、国家漏洞数据库(NVD)调查数据显示，90%以上的网络安全问题是由软件自身的安全漏洞被利用导致，软件安全的提高是筑牢网络安全防线的坚实基础。如何从根源处解决网络安全及软件安全问题?

数据显示，超过6成的安全漏洞均与代码有关，而静态代码分析技术可以帮助用户减少30-70%的安全漏洞，因此软件开发时不断检测修复代码缺陷，提高软件安全性，是减少数据丢失的重要手段，也是加强网络安全防线的基础一步。随着针对软件安全漏洞的网络攻击事件及数据泄露事件频繁发生，企业在做网络安全建设的同时，更不可忽视确保静态代码安全的重要性。Wukong(悟空)静态代码检测工具，从源码开始，为您的软件安全保驾护航!

参读链接：

https://www.woocoom.com/b021.html?id=0de84564433b4125995800e4aefde5f8

https://thehackernews.com/2021/08/critical-cosmos-database-flaw-affected.html