Nacos默认密钥致认证绕过，你的系统可能裸奔

Nacos为何成为攻击者的“后门”？

Nacos（Dynamic Naming and Configuration Service）作为微服务架构中的核心组件，广泛应用于服务发现、配置管理等场景。然而，近日曝光的QVD-2023-6271漏洞（CVSS评分9.8，高危）显示：Nacos在默认配置下未修改token.secret.key，攻击者可利用硬编码密钥绕过身份认证，直接接管后台系统。受影响版本：0.1.0 ≤ Nacos ≤ 2.2.0（最新版本已修复）。

漏洞原理：一行默认密钥引发的“血案”

漏洞核心在于JWT（JSON Web Token）硬编码漏洞：

1. 默认密钥暴露：Nacos的application.properties中预置固定密钥SecretKey0123456789...，且多数用户未修改。
2. JWT伪造：攻击者可通过默认密钥生成合法Token，伪装成系统用户（如nacos）直接登录后台。
3. 后台沦陷：成功绕过认证后，攻击者可操控服务配置、窃取敏感数据，甚至植入恶意代码，导致业务系统全面受控。

漏洞复现：攻击者如何3步攻破Nacos？

以下为模拟攻击流程（基于靶机环境，后台回复QVD-2023-6271可获取VM靶机）：

1. 构造恶意JWT
   • 使用默认密钥生成Token，设置超长过期时间（如2025年）：

     {
       "sub": "nacos",
       "exp": 1743150831
     }

   • 通过jwt.io签名，生成Token：eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiJuYWNvcyIsImV4cCI6MTc0MzE1MDgzMX0.q3OrNdB4-ez-cJnmRkLjFiwZPAIC0iK5r2u3ti2_Ju4
2. 伪造登录请求
   • 在登录接口（/nacos/v1/auth/users/login）的请求头中添加伪造Token：

     Authorization: Bearer <恶意Token>

3. 接管后台
   • 返回包中获取accessToken，即可以管理员身份操作所有功能（如修改配置、创建用户等）。

紧急修复方案：三步筑牢防线

1. 立即升级至安全版本
   • Nacos官方已在2.2.1及以上版本修复该漏洞，建议通过官网下载最新版本。
2. 修改默认密钥
   • 打开conf/application.properties，替换nacos.core.auth.plugin.nacos.token.secret.key值为高强度随机字符串。
   • 示例：

nacos.core.auth.plugin.nacos.token.secret.key=YourCustomKey@#Secure2023!

1. 加强安全审计
   • 监控Nacos日志（nacos/logs/nacos.log），排查异常登录行为。
   • 启用IP白名单、双因素认证等额外防护措施。

结语：默认配置≠安全配置，警钟长鸣！

QVD-2023-6271漏洞再次警示：“开箱即用”的默认配置往往是安全的最大盲点。无论是Nacos还是其他中间件，部署后务必：

• 修改默认账号密码、密钥；
• 定期更新至最新版本；
• 通过渗透测试、安全扫描提前发现隐患。

立即行动，别让默认密钥成为黑客的“邀请函”！

扩展阅读

• Nacos官方安全公告
• JWT安全最佳实践
• 关注「网络安全应急响应中心」公众号，获取最新漏洞情报！

转发提醒同行，共筑安全防线！ 🔒

原文始发于微信公众号（道玄网安驿站）：高危！Nacos默认密钥致认证绕过，你的系统可能裸奔