【高危】- Alibaba Nacos 未授权访问漏洞
■ 漏洞描述
Nacos 致力于帮助发现、配置和管理微服务。Nacos 提供了一组简单易用的特性集,帮助您快速实现动态服务发现、服务配置、服务元数据及流量管理。Nacos 帮助更敏捷和容易地构建、交付和管理微服务平台。Nacos 是构建以“服务”为中心的现代应用架构 (例如微服务范式、云原生范式) 的服务基础设施。通过该漏洞,攻击者可以进行任意操作,包括创建新用户并进行登录后操作。
■ 影响范围
Nacos <= 2.0.0-ALPHA.1
■ 漏洞检测
匹配组件版本
■ 漏洞修复
升级至最新的1.4.1版本,下载链接:
https://github.com/alibaba/nacos/releases/tag/1.4.1
并添加服务身份识别功能,用户可以自行配置服务端的Identity
### 开启鉴权
nacos.core.auth.enabled=true
### 关闭使用user-agent判断服务端请求并放行鉴权的功能
nacos.core.auth.enable.userAgentAuthWhite=false
### 配置自定义身份识别的key(不可为空)和value(不可为空)
nacos.core.auth.server.identity.key=example
nacos.core.auth.server.identity.value=example
■ 临时修复
限制web服务内网访问或加waf
■ 漏洞详情
https://nacos.io/en-us/blog/nacos-security-problem-note.html
https://www.jdcloud.com/cn/notice/detail/1050/type/5
Nacos 致力于帮助发现、配置和管理微服务。Nacos 提供了一组简单易用的特性集,帮助您快速实现动态服务发现、服务配置、服务元数据及流量管理。Nacos 帮助更敏捷和容易地构建、交付和管理微服务平台。Nacos 是构建以“服务”为中心的现代应用架构 (例如微服务范式、云原生范式) 的服务基础设施。通过该漏洞,攻击者可以进行任意操作,包括创建新用户并进行登录后操作。
■ 影响范围
Nacos <= 2.0.0-ALPHA.1
■ 漏洞检测
匹配组件版本
■ 漏洞修复
升级至最新的1.4.1版本,下载链接:
https://github.com/alibaba/nacos/releases/tag/1.4.1
并添加服务身份识别功能,用户可以自行配置服务端的Identity
### 开启鉴权
nacos.core.auth.enabled=true
### 关闭使用user-agent判断服务端请求并放行鉴权的功能
nacos.core.auth.enable.userAgentAuthWhite=false
### 配置自定义身份识别的key(不可为空)和value(不可为空)
nacos.core.auth.server.identity.key=example
nacos.core.auth.server.identity.value=example
■ 临时修复
限制web服务内网访问或加waf
■ 漏洞详情
https://nacos.io/en-us/blog/nacos-security-problem-note.html
https://www.jdcloud.com/cn/notice/detail/1050/type/5