外媒 The verge 報(bào)道，微軟云服務(wù) Azure 的旗艦數(shù)據(jù)庫(kù) Cosmos 存在安全漏洞，網(wǎng)絡(luò)入侵者可能借此讀取、更改甚至他們的主數(shù)據(jù)庫(kù)。

“這是你能想象到的最嚴(yán)重的云漏洞，”發(fā)現(xiàn)該問(wèn)題的安全公司 Wiz 的首席技術(shù)官 Ami Luttwak 表示，“這是 Azure 的中央數(shù)據(jù)庫(kù)，入侵者可以訪問(wèn)任何想要的客戶數(shù)據(jù)庫(kù)?！?/p>

據(jù)路透社報(bào)道，由于 Wiz 發(fā)現(xiàn)了這一重要漏洞，微軟為此支付了 4 萬(wàn)美元。

雷鋒網(wǎng)了解到，此次出現(xiàn)漏洞缺陷是微軟 Azure Cosmos DB 數(shù)據(jù)庫(kù)產(chǎn)品，涉及 Azure 用戶超過(guò) 3300 個(gè)。

據(jù)悉，該漏洞是微軟 2019 年在 Cosmos DB 中添加了名為 Jupyter Notebook 的數(shù)據(jù)可視化功能時(shí)引入的，2021 年 2 月，該功能在所有 Cosmos db 中默認(rèn)開(kāi)啟。

值得一提的是，除微軟外，Azure Cosmos DB 的客戶還包括可口可樂(lè)、利寶互助保險(xiǎn)（Liberty Mutual Insurance)）、?？松梨冢‥xxonMobil）和沃爾格林（Walgreens）等公司。

得知漏洞后，微軟安全響應(yīng)中心發(fā)布一份聲明更新表示，公司已進(jìn)行包括查看日志、以發(fā)現(xiàn)任何當(dāng)前的活動(dòng)或過(guò)去的類(lèi)似事件等司法調(diào)查，結(jié)果顯示，除了發(fā)現(xiàn)漏洞的 Wiz，沒(méi)有出現(xiàn)其他外部實(shí)體未經(jīng)授權(quán)的訪問(wèn)。

同時(shí)，微軟方面表示，Azure 的漏洞已經(jīng)被修復(fù)。但 Wiz 警告稱(chēng)，即使微軟已經(jīng)完成了漏洞修補(bǔ)，用戶也應(yīng)該全面替換他們的密鑰——現(xiàn)有的密鑰，入侵者仍可用于訪問(wèn)他們的數(shù)據(jù)。

近年來(lái)，安全隱患已成為越來(lái)越多科技公司的不得不面對(duì)和解決的難題，微軟也曾多次被勒索軟件攻擊——去年年底發(fā)生的 SolarWinds 攻擊事件中，黑客甚至竊取了微軟的源代碼。

微軟不是受漏洞、安全攻擊影響的第一個(gè)，也不會(huì)是最后一個(gè)。

網(wǎng)絡(luò)攻擊也不僅僅面向科技公司，政府部門(mén)也同樣難逃其擾，甚至于，一些網(wǎng)絡(luò)攻擊已經(jīng)開(kāi)始影響到民生問(wèn)題——今年 5 月，美國(guó)油氣管道公司 Colonial Pipeline 遭黑客攻擊，導(dǎo)致美國(guó)部分地區(qū)一度出現(xiàn)天然氣短缺。

由于頻現(xiàn)網(wǎng)絡(luò)安全問(wèn)題，美國(guó)方面也開(kāi)始采取行動(dòng)。

今年 5 月，拜登簽署了一項(xiàng)加強(qiáng)政府軟件安全的行政命令，要求 IT 服務(wù)提供商報(bào)告可能影響美國(guó)網(wǎng)絡(luò)的攻擊，并精簡(jiǎn)信息共享流程。

另外，有外媒指出，美國(guó)政府在本月召開(kāi)會(huì)議探討加強(qiáng)網(wǎng)絡(luò)安全的具體措施。相關(guān)美國(guó)官員表示，美國(guó)需要進(jìn)行系統(tǒng)性升級(jí)，讓網(wǎng)絡(luò)安全內(nèi)置到所有技術(shù)之中。

同時(shí)，該會(huì)議還針對(duì)美國(guó)關(guān)鍵基礎(chǔ)設(shè)施存在的漏洞，以及美國(guó)網(wǎng)絡(luò)安全部門(mén)存在的 50 萬(wàn)個(gè)職位空缺進(jìn)行商討。

為響應(yīng)白宮的號(hào)召，微軟方面也作出了承諾——將在未來(lái)五年內(nèi)投入 200 億美元來(lái)提供更先進(jìn)的安全工具，投資 1.5 億美元幫助政府機(jī)構(gòu)升級(jí)安全系統(tǒng)，并擴(kuò)大網(wǎng)絡(luò)安全培訓(xùn)合作伙伴關(guān)系。

參考鏈接：雷鋒網(wǎng)雷鋒網(wǎng)

【1】https://msrc-blog.microsoft.com/2021/08/27/update-on-vulnerability-in-the-azure-cosmos-db-jupyter-notebook-feature/

【2】https://www.theverge.com/2021/8/27/22644161/microsoft-azure-database-vulnerabilty-chaosdb

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。