外媒 The verge 报道,微软云服务 Azure 的旗舰数据库 Cosmos 存在安全漏洞,网络入侵者可能借此读取、更改甚至他们的主数据库。
“这是你能想象到的最严重的云漏洞,”发现该问题的安全公司 Wiz 的首席技术官 Ami Luttwak 表示,“这是 Azure 的中央数据库,入侵者可以访问任何想要的客户数据库。”
据路透社报道,由于 Wiz 发现了这一重要漏洞,微软为此支付了 4 万美元。
雷锋网了解到,此次出现漏洞缺陷是微软 Azure Cosmos DB 数据库产品,涉及 Azure 用户超过 3300 个。
据悉,该漏洞是微软 2019 年在 Cosmos DB 中添加了名为 Jupyter Notebook 的数据可视化功能时引入的,2021 年 2 月,该功能在所有 Cosmos db 中默认开启。
值得一提的是,除微软外,Azure Cosmos DB 的客户还包括可口可乐、利宝互助保险(Liberty Mutual Insurance))、埃克森美孚(ExxonMobil)和沃尔格林(Walgreens)等公司。
得知漏洞后,微软安全响应中心发布一份声明更新表示,公司已进行包括查看日志、以发现任何当前的活动或过去的类似事件等司法调查,结果显示,除了发现漏洞的 Wiz,没有出现其他外部实体未经授权的访问。
同时,微软方面表示,Azure 的漏洞已经被修复。但 Wiz 警告称,即使微软已经完成了漏洞修补,用户也应该全面替换他们的密钥——现有的密钥,入侵者仍可用于访问他们的数据。
近年来,安全隐患已成为越来越多科技公司的不得不面对和解决的难题,微软也曾多次被勒索软件攻击——去年年底发生的 SolarWinds 攻击事件中,黑客甚至窃取了微软的源代码。
微软不是受漏洞、安全攻击影响的第一个,也不会是最后一个。
网络攻击也不仅仅面向科技公司,政府部门也同样难逃其扰,甚至于,一些网络攻击已经开始影响到民生问题——今年 5 月,美国油气管道公司 Colonial Pipeline 遭黑客攻击,导致美国部分地区一度出现天然气短缺。
由于频现网络安全问题,美国方面也开始采取行动。
今年 5 月,拜登签署了一项加强政府软件安全的行政命令,要求 IT 服务提供商报告可能影响美国网络的攻击,并精简信息共享流程。
另外,有外媒指出,美国政府在本月召开会议探讨加强网络安全的具体措施。相关美国官员表示,美国需要进行系统性升级,让网络安全内置到所有技术之中。
同时,该会议还针对美国关键基础设施存在的漏洞,以及美国网络安全部门存在的 50 万个职位空缺进行商讨。
为响应白宫的号召,微软方面也作出了承诺——将在未来五年内投入 200 亿美元来提供更先进的安全工具,投资 1.5 亿美元帮助政府机构升级安全系统,并扩大网络安全培训合作伙伴关系。
参考链接:雷锋网雷锋网
【1】https://msrc-blog.microsoft.com/2021/08/27/update-on-vulnerability-in-the-azure-cosmos-db-jupyter-notebook-feature/
【2】https://www.theverge.com/2021/8/27/22644161/microsoft-azure-database-vulnerabilty-chaosdb