后门 | Nacos 被爆严重安全漏洞
Posted JAVA架构日记
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了后门 | Nacos 被爆严重安全漏洞相关的知识,希望对你有一定的参考价值。
影响范围
版本: Nacos 1.2 ~ Nacos 1.4 | 由于 1.2 以下并未认证鉴权功能,也要注意防范
问题回显
-
由于此问题比较严重,本文不会详细说明回显步骤,避免不法分子利用此漏洞进行一些破坏性的配置修改导致生产事故。
-
问题描述,由于内部存在白名单机制,导致 Nacos Server 虽然开启鉴权认证,但是可以通过构造白名单特征来绕过鉴权认证来实现相关操作(配置变更、配置信息获取)。
-
正常请求,在不登录的情况下 (未携带认证 Token) 请求对应 API 返回 403 权限拒绝
-
构造白名单请求头绕过鉴权认证,即可获取和操作 Nacos Server 信息
-
目前影响范围较广,使用 zoomeye 搜索 title: "Nacos"
可以看到直接暴露公网的 Nacos Server ,当然由于 zoomeye 只扫描了公网的 80/443 ,若 扫描 8848 肯定要比这个数量要多的多。
修复方案
-
官方已经针对此问题,发布了 v1.4.1[1],请及时下载更新。
-
开启鉴权认证,并且关闭原有的 UA 白名单机制。
nacos.core.auth.enabled=true
nacos.core.auth.enable.userAgentAuthWhite=false
nacos.core.auth.server.identity=aaa
nacos.core.auth.server.identity.value=bbb
-
当然更重要的是,此类服务请勿对外暴露,做好安全审计工作。
参考资料
v1.4.1: https://github.com/alibaba/nacos/releases/tag/1.4.1
往期推荐
以上是关于后门 | Nacos 被爆严重安全漏洞的主要内容,如果未能解决你的问题,请参考以下文章
GitHub Copilot 被爆存在安全漏洞,涉及四成代码
Tomcat爆出严重漏洞,影响所有版本,波及约8万台服务器,附解决方案!(扩散!!!)