后门 | Nacos 被爆严重安全漏洞

JAVA架构日记

共 1034字,需浏览 3分钟

 ·

2021-01-15 22:36

影响范围

版本: Nacos 1.2 ~ Nacos 1.4  | 由于 1.2 以下并未认证鉴权功能,也要注意防范

问题回显

  • 由于此问题比较严重,本文不会详细说明回显步骤,避免不法分子利用此漏洞进行一些破坏性的配置修改导致生产事故。

  • 问题描述,由于内部存在白名单机制,导致 Nacos Server 虽然开启鉴权认证,但是可以通过构造白名单特征来绕过鉴权认证来实现相关操作(配置变更、配置信息获取)。

  • 正常请求,在不登录的情况下 (未携带认证 Token) 请求对应 API 返回 403 权限拒绝

  • 构造白名单请求头绕过鉴权认证,即可获取和操作 Nacos Server 信息
  • 目前影响范围较广,使用 zoomeye 搜索 title: "Nacos" 可以看到直接暴露公网的 Nacos Server ,当然由于 zoomeye 只扫描了公网的 80/443 ,若 扫描 8848 肯定要比这个数量要多的多。
zoomeye

修复方案

  • 官方已经针对此问题,发布了 v1.4.1[1],请及时下载更新。

  • 开启鉴权认证,并且关闭原有的 UA 白名单机制。

nacos.core.auth.enabled=true
nacos.core.auth.enable.userAgentAuthWhite=false
nacos.core.auth.server.identity=aaa
nacos.core.auth.server.identity.value=bbb
  • 当然更重要的是,此类服务请勿对外暴露,做好安全审计工作。

参考资料

[1]

v1.4.1: https://github.com/alibaba/nacos/releases/tag/1.4.1

往期推荐

5分钟拥抱云原生 | SpringBoot 迁移至 Quarkus

SpringCloud LoadBalancer灰度策略实现

伊尔福德站正式通车!Spring Cloud 2020 发布

「2020封箱」Spring Boot 2.4.1 发布

Spring Boot Xss 攻击过滤插件

「Spring Boot 新特性」 jar 大小自动瘦身

「SpringBoot 新特性」启动耗时详细监控



浏览 69
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报
评论
图片
表情
推荐
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报