漏洞通告Alibaba Nacos 未授权访问漏洞

Posted 2021-03-29 深信服千里目安全实验室

漏洞名称 : Alibaba Nacos 未授权访问漏洞

威胁等级 : 高危

影响范围 : Nacos  <= 2.0.0-ALPHA.1

漏洞类型 : 未授权访问

利用难度 : 简单

漏洞分析

1 组件介绍

Nacos 致力于帮助发现、配置和管理微服务。Nacos 提供了一组简单易用的特性集，帮助您快速实现动态服务发现、服务配置、服务元数据及流量管理。Nacos 帮助更敏捷和容易地构建、交付和管理微服务平台。Nacos 是构建以“服务”为中心的现代应用架构 (例如微服务范式、云原生范式) 的服务基础设施。

2 漏洞描述

2020年12月29日，Nacos官方在github发布的issue中披露Alibaba Nacos 存在一个由于不当处理User-Agent导致的未授权访问漏洞。通过该漏洞，攻击者可以进行任意操作，包括创建新用户并进行登录后操作。

3 漏洞复现

影响范围

目前受影响的Alibaba Nacos版本：

    Nacos  <= 2.0.0-ALPHA.1

解决方案

1 官方解决方案

目前厂商未发布升级补丁修复漏洞，请受影响用户时刻关注官方信息。官方链接如下：

https://github.com/alibaba/nacos

2 深信服解决方案

【深信服下一代防火墙】预计2021年1月13日，可轻松防御此漏洞， 建议部署深信服下一代防火墙的用户更新至最新的安全防护规则，可轻松抵御此高危风险。

【深信服云盾】预计2021年1月13日，从云端自动更新防护规则，云盾用户无需操作，即可轻松、快速防御此高危风险。

【深信服安全感知平台】预计2021年1月13日，可检测利用该漏洞的攻击，实时告警，并可联动【深信服下一代防火墙等产品】实现对攻击者ip的封堵。

【深信服安全运营服务】深信服云端安全专家提供7*24小时持续的安全运营服务。在漏洞爆发之初，云端安全专家即对客户的网络环境进行漏洞扫描，保障第一时间检查客户的主机是否存在此漏洞。对存在漏洞的用户，检查并更新了客户防护设备的策略，确保客户防护设备可以防御此漏洞风险。

【深信服安全云眼】预计2021年1月15日，可检测利用该漏洞的攻击，对所有用户网站探测，保障用户安全。不清楚自身业务是否存在漏洞的用户，可注册信服云眼账号，获取30天免费安全体验。

【深信服云镜】预计2021年1月15日，可检测利用该漏洞的攻击，部署了云镜的用户可以通过升级来快速检测网络中是否受该高危风险影响，避免被攻击者利用。离线使用云镜的用户需要下载离线更新包来获得漏洞检测能力，可以连接云端升级的用户可自动获得漏洞检测能力。

时间轴

2020/12/29 Nacos github的issue公布漏洞详情

2021/1/12 深信服千里目安全实验室复现漏洞并发布漏洞通告

点击阅读原文，及时关注并登录深信服智安全平台，可轻松查询漏洞相关解决方案。

深信服千里目安全实验室

深信服科技旗下安全实验室，致力于网络安全攻防技术的研究和积累，深度洞察未知网络安全威胁，解读前沿安全技术。