8 月 26 日，云安全供应商 Wiz 宣布，在 Microsoft Azure 的托管数据库服务 Cosmos DB 中发现了一个漏洞， Wiz 将其命名为“Chaos DB”，攻击者可以利用该漏洞获得该服务上每个数据库的读 / 写访问权限。尽管 Wiz 在两周前才发现了该漏洞，但该公司表示，该漏洞已经在系统中存在“至少几个月，甚至几年”。

“Chaos DB”还引起了美国国土安全部网络安全和基础设施安全局 (CISA) 的关注，CISA  强烈建议 Azure Cosmos DB 客户重新生成密钥，并查看 Microsoft 关于如何 保护 Azure Cosmos DB 数据访问的指南。

Wiz 在发布的公告中形容 ChaosDB 是 “Azure 云平台中前所未有的严重漏洞”。该漏洞不需要任何先前访问目标环境的权限就会影响数千个组织，包括众多财富 500 强公司。Wiz 首席技术官 Ami Luttwak 将其描述为“你能想象到的、最严重的云漏洞”，并补充道，“这是 Azure 的中央数据库，我们能够访问我们想要的任何客户数据库。”

被告知存在漏洞后，微软安全团队禁用了易受攻击的 Notebook 功能，并通知超过 30% 的 Cosmos DB 客户需要手动轮换访问密钥以减少风险，这些是在 Wiz 探索漏洞一周左右内启用了 Jupyter Notebook 功能的客户。此外，微软还向 Wiz 支付了 40,000 美元的赏金。目前，微软安全团队已经修复了该漏洞。

但此前被问及当 Jupyter Notebook 功能被错误配置时是否有两年完整的日志，或者是否使用了其他方法来排除访问滥用时，微软没有直接给出答案。据悉，Wiz 四个创始人都曾在 Microsoft Azure 负责解决安全问题。Wiz 表示，虽然与微软在研究中有密切合作，但微软拒绝透露如何确保早期客户的数据安全。

微软首席执行官萨蒂亚·纳德拉 (Satya Nadella) 曾表示，自从客户开始采用云解决方案，两年的数字化转型工作在两个月内就可以完成。Gartner 数据预测，到 2025 年，全球企业云技术使用率将达 100%，企业传统数据中心将关闭 90%。

然而， 随着云被越来越多的企业应用，一些典型的云安全问题也开始显现。

• 网络钓鱼：随着员工拿到更多企业 SaaS 帐户的密钥，他们的登录便会面临更大的网络钓鱼风险。在早期，许多此类钓鱼攻击主要以 COVID-19 为诱饵。谷歌 在 2020 年 4 月声称每天要阻止 1800 万封与大流行有关的恶意网络钓鱼电子邮件。由于凭证填充攻击，超过 50 万个 Zoom 帐户被发现在暗网上出售。

• 错误配置：这可能有两种形式。第一种是在视频会议等应用程序中没有打开正确的安全和隐私设置，可能会把你的聊天内容泄露给窃听者。这就是 Zoombombing 的风险所在，尽管 Zoom 后来大大改进了内置安全功能，并默认开启了许多最重要的设置。第二种错误配置可能更危险，它使我们回到多云和混合云复杂性的问题上。云厂商经常让存储桶向所有人开放，越来越多的黑客正在扫描这些暴露的数据库。

• 漏洞：人类容易犯错，他们的代码也是如此。在大流行期间，在 Zoom 和其他 SaaS 应用程序中发现了重大的零日漏洞，这可能使攻击者能够远程控制用户的设备。托管在云中的内部 Web 应用程序也面临风险。据估计，去年有超过 20% 的漏洞是由基本的 Web 应用程序攻击造成的。

  （原文：https://mp.weixin.qq.com/s/vN8xaHLTqaTOdhMP4Dx9PQ​）