外媒 The verge 報道，微軟云服務 Azure 的旗艦數(shù)據(jù)庫 Cosmos 存在安全漏洞，網絡入侵者可能借此讀取、更改甚至他們的主數(shù)據(jù)庫。

“這是你能想象到的最嚴重的云漏洞，”發(fā)現(xiàn)該問題的安全公司 Wiz 的首席技術官 Ami Luttwak 表示，“這是 Azure 的中央數(shù)據(jù)庫，入侵者可以訪問任何想要的客戶數(shù)據(jù)庫?！?/p>

據(jù)路透社報道，由于 Wiz 發(fā)現(xiàn)了這一重要漏洞，微軟為此支付了 4 萬美元。

雷鋒網了解到，此次出現(xiàn)漏洞缺陷是微軟 Azure Cosmos DB 數(shù)據(jù)庫產品，涉及 Azure 用戶超過 3300 個。

據(jù)悉，該漏洞是微軟 2019 年在 Cosmos DB 中添加了名為 Jupyter Notebook 的數(shù)據(jù)可視化功能時引入的，2021 年 2 月，該功能在所有 Cosmos db 中默認開啟。

值得一提的是，除微軟外，Azure Cosmos DB 的客戶還包括可口可樂、利寶互助保險（Liberty Mutual Insurance)）、?？松梨冢‥xxonMobil）和沃爾格林（Walgreens）等公司。

得知漏洞后，微軟安全響應中心發(fā)布一份聲明更新表示，公司已進行包括查看日志、以發(fā)現(xiàn)任何當前的活動或過去的類似事件等司法調查，結果顯示，除了發(fā)現(xiàn)漏洞的 Wiz，沒有出現(xiàn)其他外部實體未經授權的訪問。

同時，微軟方面表示，Azure 的漏洞已經被修復。但 Wiz 警告稱，即使微軟已經完成了漏洞修補，用戶也應該全面替換他們的密鑰——現(xiàn)有的密鑰，入侵者仍可用于訪問他們的數(shù)據(jù)。

近年來，安全隱患已成為越來越多科技公司的不得不面對和解決的難題，微軟也曾多次被勒索軟件攻擊——去年年底發(fā)生的 SolarWinds 攻擊事件中，黑客甚至竊取了微軟的源代碼。

微軟不是受漏洞、安全攻擊影響的第一個，也不會是最后一個。

網絡攻擊也不僅僅面向科技公司，政府部門也同樣難逃其擾，甚至于，一些網絡攻擊已經開始影響到民生問題——今年 5 月，美國油氣管道公司 Colonial Pipeline 遭黑客攻擊，導致美國部分地區(qū)一度出現(xiàn)天然氣短缺。

由于頻現(xiàn)網絡安全問題，美國方面也開始采取行動。

今年 5 月，拜登簽署了一項加強政府軟件安全的行政命令，要求 IT 服務提供商報告可能影響美國網絡的攻擊，并精簡信息共享流程。

另外，有外媒指出，美國政府在本月召開會議探討加強網絡安全的具體措施。相關美國官員表示，美國需要進行系統(tǒng)性升級，讓網絡安全內置到所有技術之中。

同時，該會議還針對美國關鍵基礎設施存在的漏洞，以及美國網絡安全部門存在的 50 萬個職位空缺進行商討。

為響應白宮的號召，微軟方面也作出了承諾——將在未來五年內投入 200 億美元來提供更先進的安全工具，投資 1.5 億美元幫助政府機構升級安全系統(tǒng)，并擴大網絡安全培訓合作伙伴關系。

參考鏈接：雷鋒網雷鋒網

【1】https://msrc-blog.microsoft.com/2021/08/27/update-on-vulnerability-in-the-azure-cosmos-db-jupyter-notebook-feature/

【2】https://www.theverge.com/2021/8/27/22644161/microsoft-azure-database-vulnerabilty-chaosdb

雷峰網原創(chuàng)文章，未經授權禁止轉載。詳情見轉載須知。