后門 | Nacos 被爆嚴(yán)重安全漏洞

影響范圍

版本: Nacos 1.2 ~ Nacos 1.4? | 由于 1.2 以下并未認(rèn)證鑒權(quán)功能，也要注意防范

問題回顯

• 由于此問題比較嚴(yán)重，本文不會詳細(xì)說明回顯步驟，避免不法分子利用此漏洞進(jìn)行一些破壞性的配置修改導(dǎo)致生產(chǎn)事故。

• 問題描述，由于內(nèi)部存在白名單機(jī)制，導(dǎo)致 Nacos Server 雖然開啟鑒權(quán)認(rèn)證，但是可以通過構(gòu)造白名單特征來繞過鑒權(quán)認(rèn)證來實現(xiàn)相關(guān)操作（配置變更、配置信息獲取）。

• 正常請求，在不登錄的情況下 （未攜帶認(rèn)證 Token） 請求對應(yīng) API 返回 403 權(quán)限拒絕

• 構(gòu)造白名單請求頭繞過鑒權(quán)認(rèn)證，即可獲取和操作 Nacos Server 信息

• 目前影響范圍較廣，使用 zoomeye 搜索 title: "Nacos" 可以看到直接暴露公網(wǎng)的 Nacos Server ,當(dāng)然由于 zoomeye 只掃描了公網(wǎng)的 80/443 ,若 掃描 8848 肯定要比這個數(shù)量要多的多。

修復(fù)方案

• 官方已經(jīng)針對此問題，發(fā)布了 v1.4.1^[1]，請及時下載更新。

• 開啟鑒權(quán)認(rèn)證，并且關(guān)閉原有的 UA 白名單機(jī)制。

nacos.core.auth.enabled=true
nacos.core.auth.enable.userAgentAuthWhite=false
nacos.core.auth.server.identity=aaa
nacos.core.auth.server.identity.value=bbb

• 當(dāng)然更重要的是，此類服務(wù)請勿對外暴露，做好安全審計工作。

參考資料