外媒 The verge 报道,微软云服务 Azure 的旗舰数据库 Cosmos 存在安全漏洞,网络入侵者可能借此读取、更改甚至他们的主数据库。
“这是你能想象到的最严重的云漏洞,”发现该问题的安全公司 Wiz 的首席技术官 Ami Luttwak 表示,“这是 Azure 的中央数据库,入侵者可以访问任何想要的客户数据库。”据路透社报道,由于 Wiz 发现了这一重要漏洞,微软为此支付了 4 万美元。此次出现漏洞缺陷是微软 Azure Cosmos DB 数据库产品,涉及 Azure 用户超过 3300 个。
据悉,该漏洞是微软 2019 年在 Cosmos DB 中添加了名为 Jupyter Notebook 的数据可视化功能时引入的,2021 年 2 月,该功能在所有 Cosmos db 中默认开启。
值得一提的是,除微软外,Azure Cosmos DB 的客户还包括可口可乐、利宝互助保险(Liberty Mutual Insurance))、埃克森美孚(ExxonMobil)和沃尔格林(Walgreens)等公司。
得知漏洞后,微软安全响应中心发布一份声明更新表示,公司已进行包括查看日志、以发现任何当前的活动或过去的类似事件等司法调查,结果显示,除了发现漏洞的 Wiz,没有出现其他外部实体未经授权的访问。同时,微软方面表示,Azure 的漏洞已经被修复。但 Wiz 警告称,即使微软已经完成了漏洞修补,用户也应该全面替换他们的密钥——现有的密钥,入侵者仍可用于访问他们的数据。
近年来,安全隐患已成为越来越多科技公司的不得不面对和解决的难题,微软也曾多次被勒索软件攻击——去年年底发生的 SolarWinds 攻击事件中,黑客甚至窃取了微软的源代码。
网络攻击也不仅仅面向科技公司,政府部门也同样难逃其扰,甚至于,一些网络攻击已经开始影响到民生问题——今年 5 月,美国油气管道公司 Colonial Pipeline 遭黑客攻击,导致美国部分地区一度出现天然气短缺。
由于频现网络安全问题,美国方面也开始采取行动。今年 5 月,拜登签署了一项加强政府软件安全的行政命令,要求 IT 服务提供商报告可能影响美国网络的攻击,并精简信息共享流程。
另外,有外媒指出,美国政府在本月召开会议探讨加强网络安全的具体措施。相关美国官员表示,美国需要进行系统性升级,让网络安全内置到所有技术之中。同时,该会议还针对美国关键基础设施存在的漏洞,以及美国网络安全部门存在的 50 万个职位空缺进行商讨。
为响应白宫的号召,微软方面也作出了承诺——将在未来五年内投入 200 亿美元来提供更先进的安全工具,投资 1.5 亿美元帮助政府机构升级安全系统,并扩大网络安全培训合作伙伴关系。
下一节:近日,研究人员 Felix Lange 爆出 Travis CI 存在严重安全漏洞,所有公共开源存储库的安全环境变量(签名秘钥、访问凭据和所有公共开源项目的API tokens 等)都包含到 pull request 构建中,如果这些环境变量被窃取,那么这一漏洞将导致数千个开源项目的核心被泄露。