-赛博昆仑漏洞安全通告-
漏洞描述
Nacos 提供了一组简单易用的特性集,帮助您快速实现动态服务发现、服务配置、服务元数据及流量管理。Nacos 帮助您更敏捷和容易地构建、交付和管理微服务平台。Nacos 是构建以“服务”为中心的现代应用架构(例如微服务范式、云原生范式) 的服务基础设施。
近日,赛博昆仑CERT监测到Nacos 反序列化漏洞情报。由于在Nacos的7848端口(默认配置)为Nacos集群间Raft协议的通信端口,在处理Raft请求时,攻击者可以无限制使用hessian进行反序列化利用,最终实现代码执行。
漏洞名称 | Nacos Raft反序列化漏洞 | ||
漏洞公开编号 | 暂无 | ||
昆仑漏洞库编号 | CYKL-2023-007913 | ||
漏洞类型 | 反序列化执行 | 公开时间 | 2023-05-25 |
漏洞等级 | 高危 | 评分 | 暂无 |
漏洞所需权限 | 无权限要求 | 漏洞利用难度 | 中 |
PoC状态 | 未公开 | EXP状态 | 未知 |
漏洞细节 | 未公开 | 在野利用 | 未知 |
产品侧解决方案
赛博昆仑洞见平台
赛博昆仑-洞见平台以风险运营为核心思想,结合资产、漏洞和威胁进行风险量化与风险排序,并在不中断业务运行的提前下完成威胁阻断和漏洞修复,从而实现实时的风险消除。
资产风险规则
目前赛博昆仑-洞见平台的资产风险检测模块已加入该漏洞的检测规则并提示对应风险:
Rasp拦截规则
赛博昆仑-洞见平台的Rasp模块检测漏洞利用攻击拦截效果如下:
临时缓解措施
默认设置下该漏洞仅影响7848端口,客户可通过禁止该端口的请求来缓解此漏洞。 修复措施
目前,官方已发布修复建议,建议受影响的用户尽快升级至安全版本。
下载地址:
Nacos 1.4.6 https://github.com/alibaba/nacos/releases/tag/1.4.6
Nacos 2.2.3 https://github.com/alibaba/nacos/releases/tag/2.2.3
文章来源: http://mp.weixin.qq.com/s?__biz=MzkxMDQyMTIzMA==&mid=2247484187&idx=1&sn=424e9d7fe2bdc8374d0c16862b9aefe1&chksm=c12afe9af65d778ced138d9c5dab5b17c3074649b49953c857626c8fe65d3f35145703e603ab#rd
如有侵权请联系:admin#unsafe.sh
如有侵权请联系:admin#unsafe.sh