如果說，數字化轉型是全球變革的趨勢，那么“大數據安全”就是數字化轉型的“必答題”。“數據”作為當今信息化時代的重要載體與工具，其安全性是直接決定未來全球數字化轉型成功與否的關鍵命題。

前段時間，據外媒報道：SAP旗下產品ASE數據庫服務器被曝存在6個高危漏洞，其中之一的CVE-2020-6248威脅評分竟高達9.1(滿分10分)!據悉，攻擊者可利用該組漏洞在低權限狀態下，在目標系統上執行任意代碼，，直至完全控制目標數據庫甚至底層操作系統。鑒于SAP為全球知名企業軟件供應商，且ASE服務范圍甚廣，故而此次漏洞事件波及范圍或許比預想的還要深遠。而當我們將此事置于全球數字化轉型的背景下重新審視時，發現威脅絕不止于數據庫安全，其背后還潛藏著更深層次的數字時代安全形態：“數據”作為當今信息化時代的重要載體與工具，其安全性是直接決定未來全球數字化轉型成功與否的關鍵命題。

SAP(SystemApplications and Products)公司：成立于1972年，是全球知名的企業管理和協同化商務解決方案供應商，在全球190多個國家和地區擁有超過335000個客戶。

尤其值得注意的是，該公司旗下的明星產品ASE(Adaptive Server Enterprise)數據服務器享譽全球，世界范圍內近90%的銀行巨頭和安全公司，30000多家企業組織都在使用它。

SAP ASE數據服務器被曝高危漏洞

攻擊者可完全控制目標數據庫

近日，國外安全研究員發布報告，重磅披露了SAP ASE數據服務器中6個高危漏洞的技術細節，并警告稱：攻擊者可利用該組漏洞在低權限狀態下，在目標系統上執行任意代碼，甚至完全控制目標數據庫以及底層操作系統。

6個高危漏洞主要信息如下：

CVE-2020-6248：威脅評分高達9.1(滿分10)，該漏洞源于缺乏安全檢查，無法在數據庫備份操作期間覆蓋關鍵配置文件。任何可以運行DUMP命令的低權限用戶都可以通過發送損壞的配置文件以接管數據庫。

CVE-2020-6252：存在ASE服務器的小型輔助數據庫(SqlAnywhere)中，虛擬主機，任何一個運行Windows系統的攻擊者皆可通過此漏洞，登錄輔助數據庫以“本地系統”權限執行任意代碼。

CVE-2020-6241：存在于ASE 16的全局臨時表中，是典型的SQL注入漏洞，可被用于提升系統權限。

CVE-2020-6253：存在于ASE的WebServices處理代碼中，攻擊者可借此進行系統權限提升。

CVE-2020-6243：XP Server漏洞，經過身份驗證的Windows攻擊者可借此連接到SAP ASE，并以“本地系統”的權限執行任意代碼。

CVE-2020-6250：與安全日志中出現明文密碼有關，單獨使用時僅影響Linux/UNIX系統，但若與其他漏洞組合使用，或可導致SAP ASE服務器完全癱瘓。

從9.1的威脅評級到權限惡意提升再到服務器致癱，上述漏洞的破壞力不言而喻。而更關鍵的是，企業通常會將關鍵信息存儲在數據庫中，而數據庫又常處于不受信任或公開的環境下，這一趨勢更是給了漏洞攻擊可乘之機。

因此，一旦數據庫安全防線失守，不止機密信息會受到影響，正在運行的主機也將面臨前所未有的威脅。智庫在此提醒相關管理員，務必及時修補系統漏洞，保障系統安全運行。

服務器失守背后暗藏更大隱患

大數據安全危局一觸即發

而在SAP ASE存在高危漏洞這一事件中，需要我們關注的不只是漏洞的修補與否，更重要警惕的是其背后潛藏的危機：數據安全一旦失守，數字化轉型必將全線潰敗。

尤其隨著關鍵基礎設施的高度數字化，以工業互聯網、5G、人工智能為代表的新技術為大數據提供肥沃發展土壤的同時，也給數據安全帶來了前所未有的挑戰，其背后面臨的網絡威脅也日漸凸顯。

其一、內部脆弱難以避免，數據庫本身的存儲存在諸多安全隱患

由上文可知，SAP ASE服務器中存在的這組漏洞極具破壞力，而這還僅僅是數據庫服務器漏洞的冰山一角。相關數據顯示，截止2019年12月,CVE發布的被確認的國際主流數據庫漏洞多計140個!

而近年來，借助數據庫服務器漏洞，利用SQL注入、提權、緩沖區溢出登攻擊方式，針對數據中心發起的高級別網絡入侵時有發生，由此導致的大規模數據泄漏事件更是比比皆是。

根據Risk Based Security發布的數據顯示，僅在2020年第一季度，泄露的數據總量猛增至84億，與2019年第一季度相比增長了273%，創下至少自2005年詳細報告開始以來的同期記錄。

其二、外部威脅防不勝防，高級別APT、勒索軟件等各類攻擊層出不窮