NoSQL数据库漏洞可导致数据泄露影响成千上万Microsoft Azure客户

Integ 发布于2021-08-31 09:38 / 1469人阅读

摘要：研究团队于月日向微软报告了这一问题，之后微软在负责的披露后小时内采取措施缓解了这一问题，并于月日向发现者奖励了万美元的奖金。虽然微软通知了超过的客户潜在的安全漏洞，但预计实际的数字要高得多，因为该漏洞已经被利用了几个月。

.markdown-body{word-break:break-word;line-height:1.75;font-weight:400;font-size:15px;overflow-x:hidden;color:#333}.markdown-body%20h1,.markdown-body%20h2,.markdown-body%20h3,.markdown-body%20h4,.markdown-body%20h5,.markdown-body%20h6{line-height:1.5;margin-top:35px;margin-bottom:10px;padding-bottom:5px}.markdown-body%20h1{font-size:30px;margin-bottom:5px}.markdown-body%20h2{padding-bottom:12px;font-size:24px;border-bottom:1px%20solid%20#ececec}.markdown-body%20h3{font-size:18px;padding-bottom:0}.markdown-body%20h4{font-size:16px}.markdown-body%20h5{font-size:15px}.markdown-body%20h6{margin-top:5px}.markdown-body%20p{line-height:inherit;margin-top:22px;margin-bottom:22px}.markdown-body%20img{max-width:100%}.markdown-body%20hr{border:none;border-top:1px%20solid%20#ffffd;margin-top:32px;margin-bottom:32px}.markdown-body%20code{word-break:break-word;border-radius:2px;overflow-x:auto;background-color:#fff5f5;color:#ff502c;font-size:.87em;padding:.065em%20.4em}.markdown-body%20code,.markdown-body%20pre{font-family:Menlo,Monaco,Consolas,Courier%20New,monospace}.markdown-body%20pre{overflow:auto;position:relative;line-height:1.75}.markdown-body%20pre>code{font-size:12px;padding:15px%2012px;margin:0;word-break:normal;display:block;overflow-x:auto;color:#333;background:#f8f8f8}.markdown-body%20a{text-decoration:none;color:#0269c8;border-bottom:1px%20solid%20#d1e9ff}.markdown-body%20a:active,.markdown-body%20a:hover{color:#275b8c}.markdown-body%20table{display:inline-block!important;font-size:12px;width:auto;max-width:100%;overflow:auto;border:1px%20solid%20#f6f6f6}.markdown-body%20thead{background:#f6f6f6;color:#000;text-align:left}.markdown-body%20tr:nth-child(2n){background-color:#fcfcfc}.markdown-body%20td,.markdown-body%20th{padding:12px%207px;line-height:24px}.markdown-body%20td{min-width:120px}.markdown-body%20blockquote{color:#666;padding:1px%2023px;margin:22px%200;border-left:4px%20solid%20#cbcbcb;background-color:#f8f8f8}.markdown-body%20blockquote:after{display:block;content:""}.markdown-body%20blockquote>p{margin:10px%200}.markdown-body%20ol,.markdown-body%20ul{padding-left:28px}.markdown-body%20ol%20li,.markdown-body%20ul%20li{margin-bottom:0;list-style:inherit}.markdown-body%20ol%20li%20.task-list-item,.markdown-body%20ul%20li%20.task-list-item{list-style:none}.markdown-body%20ol%20li%20.task-list-item%20ol,.markdown-body%20ol%20li%20.task-list-item%20ul,.markdown-body%20ul%20li%20.task-list-item%20ol,.markdown-body%20ul%20li%20.task-list-item%20ul{margin-top:0}.markdown-body%20ol%20ol,.markdown-body%20ol%20ul,.markdown-body%20ul%20ol,.markdown-body%20ul%20ul{margin-top:3px}.markdown-body%20ol%20li{padding-left:6px}.markdown-body%20.contains-task-list{padding-left:0}.markdown-body%20.task-list-item{list-style:none}@media%20(max-width:720px){.markdown-body%20h1{font-size:24px}.markdown-body%20h2{font-size:20px}.markdown-body%20h3{font-size:18px}}

上周四，云基础设施安全公司%20Wiz披露了一个现已修复的Azure%20Cosmos数据库漏洞细节，该漏洞可能被利用来授予任何Azure用户对其他客户数据库实例的完全管理员访问权限，而无需任何授权。

该漏洞授予读取、写入和删除权限，被称为“%20ChaosDB%20”，Wiz%20研究人员指出，“该漏洞不需要任何先前访问目标环境的权限，并影响成千上万的组织机构，包括许多《财富》500强公司。”

Cosmos%20DB是微软专有的NoSQL数据库，它被宣传为“一个完全托管的服务”，“通过自动管理、更新和补丁，将数据库管理从您的手中解放出来”。

Wiz研究团队于8月12日向微软报告了这一问题，之后微软在负责的披露后48小时内采取措施缓解了这一问题，并于8月17日向发现者奖励了4万美元的奖金。

微软在一份声明中表示:“我们没有迹象表明研究人员之外的外部实体访问了与您的Azure%20Cosmos%20DB账户相关的主读写密钥。”“此外，由于这个漏洞，我们不知道有任何数据访问。如果启用了vNET或防火墙的Azure%20Cosmos%20DB账户会受到额外的安全机制的保护，以防止未经授权的访问风险。”

Wiz发现的漏洞涉及Cosmos%20DB的Jupyter%20Notebook功能中的一系列漏洞，使攻击者能够获取目标Cosmos%20DB帐户对应的凭据，包括提供访问数据库帐户管理资源的主键。

研究人员表示:“使用这些凭证，用户可以通过多种渠道查看、修改和删除目标Cosmos DB账户中的数据。”因此，任何启用了Jupyter Notebook特性的Cosmos DB资产都可能受到影响。

虽然微软通知了超过30%的Cosmos DB客户潜在的安全漏洞，但Wiz预计实际的数字要高得多，因为该漏洞已经被利用了几个月。

Wiz的研究人员指出:“每个Cosmos DB的客户都应该假设自己已经被曝光。并建议检查一下你的Cosmos DB账户过去的所有活动。”此外，微软还敦促它的客户更新他们的Cosmos DB主密钥，以减少任何由缺陷引起的风险。

随着全球数字化趋势的来临，各行各业正在逐步进行数字化转型，数据被看作创造价值的核心资产。随着信息化技术的高速发展，大量业务数据持续迁移到网络环境中，不法组织与个人正在觊觎数据资产。

近年来，国内外数据泄漏事件频发，Facebook数据泄露、Uber用户资料被盗、领英用户数据暴露、等，这些事件涉及众多行业，且泄漏事件发生与发现的时间间隔普遍较长。IBM Security的一项研究报告显示，在2021年统计的五百多家企业中，发现并遏制数据泄露所需的平均时间为 287 天，平均每起数据泄露事件成本为424万美元，医疗行业的数据泄露成本最高(923 万美元)，其次是金融行业(572 万美元)和制药行业(504 万美元)。给企业和用户造成了不可估量的经济及声誉损失，数据安全管理面临严峻的考验。

而数据泄露的多数事件中都离不开安全漏洞，美国国家标准与技术局(NIST)、国家漏洞数据库(NVD)调查数据显示，90%以上的网络安全问题是由软件自身的安全漏洞被利用导致，软件安全的提高是筑牢网络安全防线的坚实基础。如何从根源处解决网络安全及软件安全问题?

数据显示，超过6成的安全漏洞均与代码有关，而静态代码分析技术可以帮助用户减少30-70%的安全漏洞，因此软件开发时不断检测修复代码缺陷，提高软件安全性，是减少数据丢失的重要手段，也是加强网络安全防线的基础一步。随着针对软件安全漏洞的网络攻击事件及数据泄露事件频繁发生，企业在做网络安全建设的同时，更不可忽视确保静态代码安全的重要性。

参读链接：

www.woocoom.com/b021.html?i…

thehackernews.com/2021/08/cri…

云内存存储UMem Redis 云数据库MySQL NoSQL数据库漏洞可导致数据泄露影响安全产品不“安全”?可致数据泄露的SNI Microsoft Azure Microsoft Azure cdn

文章版权归作者所有，未经允许请勿转载,若此文章存在违规行为，您可以联系管理员删除。

转载请注明本文地址：https://www.ucloud.cn/yun/118631.html

渗透测试常见面试题总结

摘要：渗透攻击渗透攻击是指有攻击者或渗透测试者利用一个系统应用或服务中的安全漏洞，所进行的攻击行为。是指在渗透攻击时作为攻击载荷运行的一组机器指令。域将网络中多台计算机逻辑上组织到一起，进行集中管理，这种区别于工作组的逻辑环境叫做域，域是组织与存储资源的核心管理单元，在域中，至少有一台域控制器...

不知名网友 2021-11-26 11:11 评论0 收藏0
X-ray捡洞中遇到的高频漏洞（Shiro默认key、备份文件&敏感目录泄露、Dru

摘要：在服务端对的值，先解码然后解密再反序列化，就导致了反序列化漏洞。用 X-Ray 刷洞发现一些出现频率高的漏洞，把漏洞原理和利用方式稍作整理，按照危害排名，低危漏...

xuexiangjys 2021-11-12 10:34 评论0 收藏0
安全产品不“安全”?可致数据泄露的SNI漏洞影响Cisco、Fortinet等产品

摘要：并表示，利用此漏洞可能使攻击者能够绕过许多安全产品的安全协议，从而导致数据泄露。思科在一份安全公告中表示，其部分产品，包括其网络安全设备和威胁防御以及某些版本的检测引擎受漏洞影响，并且正在调查其他产品是否受到影响。 .markdown-body{word-break:break-word;line-height:1.75;font-weight:400;font-size:15px...

mo0n1andin 2021-08-31 09:44 评论0 收藏0
Android安全开发之WebView中的地雷

摘要：下文将详细介绍这一系列安全问题，罗列相关的一些案列，并提供相应安全开发建议。漏洞在年月被披露后，很多都中招，其中浏览器成为重灾区。但截至目前任有很多中依然存在此漏洞，与以往不同的只是攻击入口发生了一定的变化。在及以后的版本中默认已被禁止。 0X01 About WebView 在Android开发中，经常会使用WebView来实现WEB页面的展示，在Activiry中启动自己的浏览器，...

zhichangterry 2019-06-25 10:43 评论0 收藏0
Android安全开发之浅谈密钥硬编码

摘要：简介在阿里聚安全的漏洞扫描器中和人工安全审计中，经常发现有开发者将密钥硬编码在代码文件中，这样做会引起很大风险。阿里聚安全开发建议通过以上案例，并总结下自己平时发现密钥硬编码的主要形式有密钥直接明文存在文件中，这是最不安全的。 1 简介在阿里聚安全的漏洞扫描器中和人工APP安全审计中，经常发现有开发者将密钥硬编码在Java代码、文件中，这样做会引起很大风险。信息安全的基础在于密码学，...

zone 2019-06-24 19:28 评论0 收藏0