外媒《The Verge》報導,微軟雲端服務Azure的旗艦數據庫Cosmos存在安全漏洞,網路入侵者可能藉此讀取,甚至更改他們的主數據庫。
「這是你能想像到的最嚴重的雲端漏洞。」發現該問題的安全公司Wiz的技術長Ami Luttwak表示,這是Azure的中央數據庫,入侵者可以訪問任何想要的客戶數據庫。
據路透社報導,由於Wiz發現了這一重要漏洞,微軟為此支付了4萬美元。
此次出現漏洞缺陷,是微軟Azure Cosmos DB數據庫產品,涉及Azure用戶超過3300個。
據悉,該漏洞是微軟2019年在Cosmos DB中,添加了名為Jupyter Notebook的數據可視化功能時引入的,2021年2月,該功能在所有 Cosmos db中預設開啓。
值得一提的是,除微軟外,Azure Cosmos DB的客戶還包括可口可樂、利寶互助保險(Liberty Mutual Insurance))、埃克森美孚(ExxonMobil)和沃爾格林(Walgreens)等公司。
得知漏洞後,微軟安全響應中心發布一份聲明更新表示,公司已進行包括查看日誌、以發現任何當前的活動或過去的類似事件等司法調查,結果顯示,除了發現漏洞的Wiz,沒有出現其他外部實體未經授權的訪問。
同時,微軟方面表示,Azure的漏洞已經被修復。但Wiz警告稱,即使微軟已經完成了漏洞修補,用戶也應該全面替換他們的密鑰,現有的密鑰,入侵者仍可用於訪問他們的數據。
近年來,安全隱患已成為越來越多科技公司,不得不面對和解決的難題,微軟也曾多次被勒索軟體攻擊,去年年底發生的SolarWinds攻擊事件中,駭客甚至竊取了微軟的源代碼。
微軟不是受漏洞、安全攻擊影響的第一個,也不會是最後一個。
網路攻擊也不僅僅面向科技公司,政府部門也同樣難逃其擾,甚至於,一些網路攻擊已經開始影響到民生問題。今年5月,美國油氣管道公司Colonial Pipeline遭駭客攻擊,導致美國部分地區一度出現天然氣短缺。
由於頻現網路安全問題,美國方面也開始採取行動。
今年5月,拜登簽署了一項加強政府軟體安全的行政命令,要求IT服務提供商,報告可能影響美國網路的攻擊,並精簡資訊、共享流程。
另外,有外媒指出,美國政府在本月召開會議探討加強網路安全的具體措施。相關美國官員表示,美國需要進行系統性升級,讓網路安全內置到所有技術之中。
同時,該會議還針對美國關鍵基礎設施存在的漏洞,以及美國網路安全部門存在的50萬個職位空缺進行商討。
為響應白宮的號召,微軟方面也作出了承諾。將在未來五年內投入200億美元來提供更先進的安全工具,投資1.5億美元幫助政府機構升級安全系統,並擴大網路安全培訓合作夥伴關係。
本文為雷鋒網授權刊登,原文標題為「微軟 Azure 出現漏洞,波及 3300+ 客戶」