如果說，數(shù)字化轉(zhuǎn)型是全球變革的趨勢(shì)，那么“大數(shù)據(jù)安全”就是數(shù)字化轉(zhuǎn)型的“必答題”。“數(shù)據(jù)”作為當(dāng)今信息化時(shí)代的重要載體與工具，其安全性是直接決定未來全球數(shù)字化轉(zhuǎn)型成功與否的關(guān)鍵命題。

前段時(shí)間，據(jù)外媒報(bào)道：SAP旗下產(chǎn)品ASE數(shù)據(jù)庫服務(wù)器被曝存在6個(gè)高危漏洞，其中之一的CVE-2020-6248威脅評(píng)分竟高達(dá)9.1(滿分10分)!據(jù)悉，攻擊者可利用該組漏洞在低權(quán)限狀態(tài)下，在目標(biāo)系統(tǒng)上執(zhí)行任意代碼，，直至完全控制目標(biāo)數(shù)據(jù)庫甚至底層操作系統(tǒng)。鑒于SAP為全球知名企業(yè)軟件供應(yīng)商，且ASE服務(wù)范圍甚廣，故而此次漏洞事件波及范圍或許比預(yù)想的還要深遠(yuǎn)。而當(dāng)我們將此事置于全球數(shù)字化轉(zhuǎn)型的背景下重新審視時(shí)，發(fā)現(xiàn)威脅絕不止于數(shù)據(jù)庫安全，其背后還潛藏著更深層次的數(shù)字時(shí)代安全形態(tài)：“數(shù)據(jù)”作為當(dāng)今信息化時(shí)代的重要載體與工具，其安全性是直接決定未來全球數(shù)字化轉(zhuǎn)型成功與否的關(guān)鍵命題。

SAP(SystemApplications and Products)公司：成立于1972年，是全球知名的企業(yè)管理和協(xié)同化商務(wù)解決方案供應(yīng)商，在全球190多個(gè)國家和地區(qū)擁有超過335000個(gè)客戶。

尤其值得注意的是，該公司旗下的明星產(chǎn)品ASE(Adaptive Server Enterprise)數(shù)據(jù)服務(wù)器享譽(yù)全球，世界范圍內(nèi)近90%的銀行巨頭和安全公司，30000多家企業(yè)組織都在使用它。

SAP ASE數(shù)據(jù)服務(wù)器被曝高危漏洞

攻擊者可完全控制目標(biāo)數(shù)據(jù)庫

近日，國外安全研究員發(fā)布報(bào)告，重磅披露了SAP ASE數(shù)據(jù)服務(wù)器中6個(gè)高危漏洞的技術(shù)細(xì)節(jié)，并警告稱：攻擊者可利用該組漏洞在低權(quán)限狀態(tài)下，在目標(biāo)系統(tǒng)上執(zhí)行任意代碼，甚至完全控制目標(biāo)數(shù)據(jù)庫以及底層操作系統(tǒng)。

6個(gè)高危漏洞主要信息如下：

CVE-2020-6248：威脅評(píng)分高達(dá)9.1(滿分10)，該漏洞源于缺乏安全檢查，無法在數(shù)據(jù)庫備份操作期間覆蓋關(guān)鍵配置文件。任何可以運(yùn)行DUMP命令的低權(quán)限用戶都可以通過發(fā)送損壞的配置文件以接管數(shù)據(jù)庫。

CVE-2020-6252：存在ASE服務(wù)器的小型輔助數(shù)據(jù)庫(SqlAnywhere)中，虛擬主機(jī)，任何一個(gè)運(yùn)行Windows系統(tǒng)的攻擊者皆可通過此漏洞，登錄輔助數(shù)據(jù)庫以“本地系統(tǒng)”權(quán)限執(zhí)行任意代碼。

CVE-2020-6241：存在于ASE 16的全局臨時(shí)表中，是典型的SQL注入漏洞，可被用于提升系統(tǒng)權(quán)限。

CVE-2020-6253：存在于ASE的WebServices處理代碼中，攻擊者可借此進(jìn)行系統(tǒng)權(quán)限提升。

CVE-2020-6243：XP Server漏洞，經(jīng)過身份驗(yàn)證的Windows攻擊者可借此連接到SAP ASE，并以“本地系統(tǒng)”的權(quán)限執(zhí)行任意代碼。

CVE-2020-6250：與安全日志中出現(xiàn)明文密碼有關(guān)，單獨(dú)使用時(shí)僅影響Linux/UNIX系統(tǒng)，但若與其他漏洞組合使用，或可導(dǎo)致SAP ASE服務(wù)器完全癱瘓。

從9.1的威脅評(píng)級(jí)到權(quán)限惡意提升再到服務(wù)器致癱，上述漏洞的破壞力不言而喻。而更關(guān)鍵的是，企業(yè)通常會(huì)將關(guān)鍵信息存儲(chǔ)在數(shù)據(jù)庫中，而數(shù)據(jù)庫又常處于不受信任或公開的環(huán)境下，這一趨勢(shì)更是給了漏洞攻擊可乘之機(jī)。

因此，一旦數(shù)據(jù)庫安全防線失守，不止機(jī)密信息會(huì)受到影響，正在運(yùn)行的主機(jī)也將面臨前所未有的威脅。智庫在此提醒相關(guān)管理員，務(wù)必及時(shí)修補(bǔ)系統(tǒng)漏洞，保障系統(tǒng)安全運(yùn)行。

服務(wù)器失守背后暗藏更大隱患

大數(shù)據(jù)安全危局一觸即發(fā)

而在SAP ASE存在高危漏洞這一事件中，需要我們關(guān)注的不只是漏洞的修補(bǔ)與否，更重要警惕的是其背后潛藏的危機(jī)：數(shù)據(jù)安全一旦失守，數(shù)字化轉(zhuǎn)型必將全線潰敗。

尤其隨著關(guān)鍵基礎(chǔ)設(shè)施的高度數(shù)字化，以工業(yè)互聯(lián)網(wǎng)、5G、人工智能為代表的新技術(shù)為大數(shù)據(jù)提供肥沃發(fā)展土壤的同時(shí)，也給數(shù)據(jù)安全帶來了前所未有的挑戰(zhàn)，其背后面臨的網(wǎng)絡(luò)威脅也日漸凸顯。

其一、內(nèi)部脆弱難以避免，數(shù)據(jù)庫本身的存儲(chǔ)存在諸多安全隱患

由上文可知，SAP ASE服務(wù)器中存在的這組漏洞極具破壞力，而這還僅僅是數(shù)據(jù)庫服務(wù)器漏洞的冰山一角。相關(guān)數(shù)據(jù)顯示，截止2019年12月,CVE發(fā)布的被確認(rèn)的國際主流數(shù)據(jù)庫漏洞多計(jì)140個(gè)!

而近年來，借助數(shù)據(jù)庫服務(wù)器漏洞，利用SQL注入、提權(quán)、緩沖區(qū)溢出登攻擊方式，針對(duì)數(shù)據(jù)中心發(fā)起的高級(jí)別網(wǎng)絡(luò)入侵時(shí)有發(fā)生，由此導(dǎo)致的大規(guī)模數(shù)據(jù)泄漏事件更是比比皆是。

根據(jù)Risk Based Security發(fā)布的數(shù)據(jù)顯示，僅在2020年第一季度，泄露的數(shù)據(jù)總量猛增至84億，與2019年第一季度相比增長了273%，創(chuàng)下至少自2005年詳細(xì)報(bào)告開始以來的同期記錄。

其二、外部威脅防不勝防，高級(jí)別APT、勒索軟件等各類攻擊層出不窮