后门 | Nacos 被爆严重安全漏洞

原创

轮子工厂 2021-03-03 19:45:39 ©著作权

文章标签 java 文章分类 Java 后端开发

©著作权归作者所有：来自51CTO博客作者轮子工厂的原创作品，请联系作者获取转载授权，否则将追究法律责任

影响范围

版本: Nacos 1.2 ~ Nacos 1.4 | 由于 1.2 以下并未认证鉴权功能，也要注意防范

问题回显

由于此问题比较严重，本文不会详细说明回显步骤，避免不法分子利用此漏洞进行一些破坏性的配置修改导致生产事故。
问题描述，由于内部存在白名单机制，导致 Nacos Server 虽然开启鉴权认证，但是可以通过构造白名单特征来绕过鉴权认证来实现相关操作（配置变更、配置信息获取）。
正常请求，在不登录的情况下（未携带认证 Token）请求对应 API 返回 403 权限拒绝

后门 | Nacos 被爆严重安全漏洞_java

构造白名单请求头绕过鉴权认证，即可获取和操作 Nacos Server 信息

后门 | Nacos 被爆严重安全漏洞_java_02

目前影响范围较广，使用 zoomeye 搜索title: "Nacos" 可以看到直接暴露公网的 Nacos Server ,当然由于 zoomeye 只扫描了公网的 80/443 ,若扫描 8848 肯定要比这个数量要多的多。

zoomeye

修复方案

官方已经针对此问题，发布了v1.4.1^[1]，请及时下载更新。
开启鉴权认证，并且关闭原有的 UA 白名单机制。

nacos.core.auth.enabled=true
nacos.core.auth.enable.userAgentAuthWhite=false
nacos.core.auth.server.identity=aaa
nacos.core.auth.server.identity.value=bbb