前段時間，據(jù)外媒報道：SAP旗下產(chǎn)品ASE數(shù)據(jù)庫服務(wù)器被曝存在6個高危漏洞，其中之一的CVE-2020-6248威脅評分竟高達(dá)9.1(滿分10分)!據(jù)悉，攻擊者可利用該組漏洞在低權(quán)限狀態(tài)下，在目標(biāo)系統(tǒng)上執(zhí)行任意代碼，直至完全控制目標(biāo)數(shù)據(jù)庫甚至底層操作系統(tǒng)。鑒于SAP為全球知名企業(yè)軟件供應(yīng)商，且ASE服務(wù)范圍甚廣，故而此次漏洞事件波及范圍或許比預(yù)想的還要深遠(yuǎn)。而當(dāng)我們將此事置于全球數(shù)字化轉(zhuǎn)型的背景下重新審視時，發(fā)現(xiàn)威脅絕不止于數(shù)據(jù)庫安全，其背后還潛藏著更深層次的數(shù)字時代安全形態(tài)：“數(shù)據(jù)”作為當(dāng)今信息化時代的重要載體與工具，其安全性是直接決定未來全球數(shù)字化轉(zhuǎn)型成功與否的關(guān)鍵命題。

 

 

　　SAP(SystemApplicationsandProducts)公司：成立于1972年，是全球知名的企業(yè)管理和協(xié)同化商務(wù)解決方案供應(yīng)商，在全球190多個國家和地區(qū)擁有超過335000個客戶。

 

　　尤其值得注意的是，該公司旗下的明星產(chǎn)品ASE(AdaptiveServerEnterprise)數(shù)據(jù)服務(wù)器享譽全球，世界范圍內(nèi)近90%的銀行巨頭和安全公司，30000多家企業(yè)組織都在使用它。

 

 

　　攻擊者可完全控制目標(biāo)數(shù)據(jù)庫

 

　　近日，國外安全研究員發(fā)布報告，重磅披露了SAPASE數(shù)據(jù)服務(wù)器中6個高危漏洞的技術(shù)細(xì)節(jié)，并警告稱：攻擊者可利用該組漏洞在低權(quán)限狀態(tài)下，在目標(biāo)系統(tǒng)上執(zhí)行任意代碼，甚至完全控制目標(biāo)數(shù)據(jù)庫以及底層操作系統(tǒng)。

 

 

　　6個高危漏洞主要信息如下：

 

　　CVE-2020-6248：威脅評分高達(dá)9.1(滿分10)，該漏洞源于缺乏安全檢查，無法在數(shù)據(jù)庫備份操作期間覆蓋關(guān)鍵配置文件。任何可以運行DUMP命令的低權(quán)限用戶都可以通過發(fā)送損壞的配置文件以接管數(shù)據(jù)庫。

 

　　CVE-2020-6252：存在ASE服務(wù)器的小型輔助數(shù)據(jù)庫(SqlAnywhere)中，任何一個運行Windows系統(tǒng)的攻擊者皆可通過此漏洞，登錄輔助數(shù)據(jù)庫以“本地系統(tǒng)”權(quán)限執(zhí)行任意代碼。

 

　　CVE-2020-6241：存在于ASE16的全局臨時表中，是典型的SQL注入漏洞，可被用于提升系統(tǒng)權(quán)限。

 

　　CVE-2020-6253：存在于ASE的WebServices處理代碼中，攻擊者可借此進(jìn)行系統(tǒng)權(quán)限提升。

 

　　CVE-2020-6243：XPServer漏洞，經(jīng)過身份驗證的Windows攻擊者可借此連接到SAPASE，并以“本地系統(tǒng)”的權(quán)限執(zhí)行任意代碼。

 

　　CVE-2020-6250：與安全日志中出現(xiàn)明文密碼有關(guān)，單獨使用時僅影響Linux/UNIX系統(tǒng)，但若與其他漏洞組合使用，或可導(dǎo)致SAPASE服務(wù)器完全癱瘓。

 

　　從9.1的威脅評級到權(quán)限惡意提升再到服務(wù)器致癱，上述漏洞的破壞力不言而喻。而更關(guān)鍵的是，企業(yè)通常會將關(guān)鍵信息存儲在數(shù)據(jù)庫中，而數(shù)據(jù)庫又常處于不受信任或公開的環(huán)境下，這一趨勢更是給了漏洞攻擊可乘之機。

 

　　因此，一旦數(shù)據(jù)庫安全防線失守，不止機密信息會受到影響，正在運行的主機也將面臨前所未有的威脅。智庫在此提醒相關(guān)管理員，務(wù)必及時修補系統(tǒng)漏洞，保障系統(tǒng)安全運行。

 

 

　　大數(shù)據(jù)安全危局一觸即發(fā)

 

　　而在SAPASE存在高危漏洞這一事件中，需要我們關(guān)注的不只是漏洞的修補與否，更重要警惕的是其背后潛藏的危機：數(shù)據(jù)安全一旦失守，數(shù)字化轉(zhuǎn)型必將全線潰敗。

 

　　尤其隨著關(guān)鍵基礎(chǔ)設(shè)施的高度數(shù)字化，以工業(yè)互聯(lián)網(wǎng)、5G、人工智能為代表的新技術(shù)為大數(shù)據(jù)提供肥沃發(fā)展土壤的同時，也給數(shù)據(jù)安全帶來了前所未有的挑戰(zhàn)，其背后面臨的網(wǎng)絡(luò)威脅也日漸凸顯。

 

 

　　由上文可知，SAPASE服務(wù)器中存在的這組漏洞極具破壞力，而這還僅僅是數(shù)據(jù)庫服務(wù)器漏洞的冰山一角。相關(guān)數(shù)據(jù)顯示，截止2019年12月,CVE發(fā)布的被確認(rèn)的國際主流數(shù)據(jù)庫漏洞多計140個!

 

　　而近年來，借助數(shù)據(jù)庫服務(wù)器漏洞，利用SQL注入、提權(quán)、緩沖區(qū)溢出登攻擊方式，針對數(shù)據(jù)中心發(fā)起的高級別網(wǎng)絡(luò)入侵時有發(fā)生，由此導(dǎo)致的大規(guī)模數(shù)據(jù)泄漏事件更是比比皆是。

 

　　根據(jù)RiskBasedSecurity發(fā)布的數(shù)據(jù)顯示，僅在2020年第一季度，泄露的數(shù)據(jù)總量猛增至84億，與2019年第一季度相比增長了273%，創(chuàng)下至少自2005年詳細(xì)報告開始以來的同期記錄。

 

 

　　在數(shù)據(jù)內(nèi)部脆弱性難以避免的背景下，針對性的高級別網(wǎng)絡(luò)攻擊日益猖獗，傳統(tǒng)的防御手段已無法有效阻止APT等高級攻擊，而數(shù)據(jù)安全防線一旦被攻破，各類有關(guān)國家、社會、企業(yè)和個人的海量大數(shù)據(jù)將被置于前所未有的威脅之下。

 

　　以最近發(fā)生的數(shù)起數(shù)據(jù)攻擊案件為例：

 

　　2020年5月，美國德克薩斯州的航空服務(wù)供應(yīng)商圣東安尼奧航空航天公司(VTSAA)遭遇勒索軟件攻擊，該公司包括財務(wù)數(shù)據(jù)、提案、保密協(xié)議在內(nèi)的1.5TB數(shù)據(jù)慘遭竊取;

 

　　2020年5月，泰國最大的蜂窩網(wǎng)絡(luò)AIS疑似遭黑客攻擊，致其數(shù)據(jù)庫脫機，80億實時互聯(lián)網(wǎng)記錄慘遭泄露;

 

　　2020年6月3日，外媒報道稱，美國防部承包商遭遇Maze勒索軟件攻擊，致其參與維護(hù)支持的美國洲際彈道導(dǎo)彈“民兵-3“系列軍事數(shù)據(jù)陷入危局;

 

　　樁樁件件，皆是面向數(shù)據(jù)安全振聾發(fā)聵的安全警鈴。

 

 

　　隨著全球數(shù)字化戰(zhàn)略迎來前所未有之新變局，各產(chǎn)業(yè)鏈中，數(shù)據(jù)應(yīng)用場景必將呈現(xiàn)井噴式增長。而在這一趨勢下，數(shù)據(jù)采集、數(shù)據(jù)整合、數(shù)據(jù)提煉、數(shù)據(jù)挖掘、數(shù)據(jù)發(fā)布這一鏈條中的任何一個環(huán)節(jié)被攻破，都將導(dǎo)致“牽一發(fā)而動全身“的威脅效果。

 

　　更為嚴(yán)重的是，若以失真的數(shù)據(jù)來訓(xùn)練神經(jīng)網(wǎng)絡(luò)現(xiàn)象，將導(dǎo)致從決策錯誤到整個數(shù)據(jù)中心宕機等一些列重大安全問題。

 

 

　　當(dāng)前，新基建浪潮之下，大數(shù)據(jù)不僅是數(shù)字化轉(zhuǎn)型的重要驅(qū)動力，更是轉(zhuǎn)型之后各行各業(yè)數(shù)字化發(fā)展的重要載體和工具。

 

　　與此同時，伴隨萬物互通互聯(lián)，“大數(shù)據(jù)安全”也不再是虛擬世界的威脅，更是現(xiàn)實世界的延展。數(shù)據(jù)庫的暴露可能對國家安全、社會安全、個人安全造成不可逆的影響。

 

　　今年兩會期間，360董事長兼CEO周鴻祎提出的四點建議中，其中第三條也曾提到要強化大數(shù)據(jù)平臺安全，實現(xiàn)安全的大數(shù)據(jù)協(xié)同計算。足見，在全球數(shù)字化轉(zhuǎn)型的當(dāng)下，“大數(shù)據(jù)安全”儼然早已成為網(wǎng)絡(luò)安全的“必答題”，保障“大數(shù)據(jù)安全”成為我們發(fā)展新基建避不開的重要一環(huán)。

 

　　而在應(yīng)對之策上，與應(yīng)對新型網(wǎng)絡(luò)空間威脅同理，在維護(hù)“大數(shù)據(jù)安全”上，我們同樣要改變單一、傳統(tǒng)的網(wǎng)絡(luò)防護(hù)思維和手段，盡早構(gòu)建以數(shù)據(jù)安全為導(dǎo)向的全新網(wǎng)絡(luò)防護(hù)體系來應(yīng)對當(dāng)前的網(wǎng)絡(luò)威脅。