Nacos 身份认证绕过漏洞
Nacos 是一个便于构建云原生应用的动态服务发现、配置管理和服务管理平台,它提供了一组简单易用的特性集,能帮助开发者快速实现动态服务发现、服务配置、服务元数据及流量管理。
3月2日,Nacos 官方发布安全补丁,修复了一处身份验证绕过漏洞(NVDB-CNVDB-2023674205),漏洞危害等级为高危。
漏洞描述
Nacos 在默认配置下使用固定的 JWT token 密钥来对用户进行认证鉴权,由于 Nacos 是开源项目,该密钥是公开已知的,因此未授权的攻击者可用此固定密钥伪造任意用户身份登录 Nacos,管理操作后台接口功能。
影响范围
0.1.0 <= Nacos <= 2.2.0
解决方案
Nacos 官方已发布相应的补丁修复漏洞,用户可通过更新升级到Nacos 2.2.0.1 版本进行漏洞修复:
https://github.com/alibaba/nacos/releases/tag/2.2.0.1
无法进行版本升级的用户可修改 Nacos 配置文件 application.properties 中 JWT token secretkey 配置项为自定义密钥进行漏洞修复,具体配置步骤可参考官方文档:https://nacos.io/zh-cn/docs/v2/guide/user/auth.html
此外,Nacos 定义为一个应用服务发现和配置管理中间件服务,这类应用一般应该部署于内部网络环境,因此不建议用户将Nacos暴露在公网环境。同时应开启鉴权,设置自定义token.secret.key,并修改nacos用户的密码,提高安全性。另外,即使升级到最新版本,开启鉴权并修改了token.secret.key和nacos用户的密码,也请不要暴露在公网环境使用。
产品支持
云图:默认支持该产品的指纹与受影响范围识别,同时支持该漏洞的检测。
参考资料
-
https://nacos.io/zh-cn/blog/announcement-token-secret-key.html
原文始发于微信公众号(长亭技术沙盒):漏洞风险提示| Nacos 身份认证绕过漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论