Nacos是一个开源的服务发现和配置管理平台,专门为微服务架构设计,用于帮助构建动态服务发现、服务配置管理、服务元数据及流量管理。
2024年7月,互联网披露了一个Nacos的漏洞利用。经分析,攻击者可利用该漏洞获取操作系统权限,建议受影响的客户尽快修复漏洞。
漏洞成因
在 standalone 模式下,Nacos 默认使用 Derby 数据库。与其他外部数据库不同,Apache Derby 数据库是嵌入式的,无法通过外部 JDBC 连接进行管理,因此 Nacos 提供了运维接口来执行 SQL 语句。该漏洞利用了 removal 接口实现远程代码执行,是后台漏洞。
漏洞影响
在 Nacos 未启用身份认证、攻击者绕过权限获取后台权限,或攻击者使用合法账号登录的情况下,可以利用该接口实现远程代码执行。
处置优先级:高
漏洞类型:SQLi to RCE
漏洞危害等级:高
权限认证要求:开启鉴权后需要认证
系统配置要求:默认配置可利用
用户交互要求:无需用户交互
利用成熟度:POC/EXP已公开
批量可利用性:可使用通用 POC/EXP,批量检测/利用
修复复杂度:低,官方已发布升级版本
xpoc -r 427 -t http://xpoc.org工具获取方式:
https://github.com/chaitin/xpoc
https://stack.chaitin.com/tool/detail/1036
Nacos < 2.4.0
升级修复方案
官方已在2.4.0版本中引入了一个新的选项 derbyOpsEnabled,并将其默认设置为关闭,以防止相关接口被滥用。可在Nacos官网下载最新版本使用。
临时缓解方案
1. 无权限绕过漏洞的版本可启用 Nacos 鉴权并设置足够复杂的密码。
2. 使用外部数据库作为 Nacos 的数据库。
3. 使用WAF等安全设备进行防护。
4. 在不影响业务的情况下配置URL访问控制策略。
5. 限制访问来源地址,如非必要,不要将系统开放在互联网上。
云图:默认支持该产品的指纹识别,同时支持该漏洞的PoC原理检测。
洞鉴:以自定义POC形式支持该漏洞的原理检测。
雷池:默认支持检测该漏洞的利用行为。
全悉:默认支持检测该漏洞的利用行为。
7月15日 长亭科技获取漏洞情报
7月15日 长亭应急响应实验室漏洞分析与复现
7月15日 长亭安全应急响应中心通知客户修复
7月19日 官方发布新版本修复漏洞
7月19日 长亭安全应急响应中心发布通告
参考资料:
[1].https://github.com/alibaba/nacos
全力进行产品升级
及时将风险提示预案发送给客户
检测业务是否受到此次漏洞影响
请联系长亭应急服务团队
7*24小时,守护您的安全
第一时间找到我们:
应急响应热线:4000-327-707
文章来源: https://mp.weixin.qq.com/s?__biz=MzIwMDk1MjMyMg==&mid=2247492622&idx=2&sn=421756753855b4778e62e57395995703&chksm=96f7fb63a18072756d5f876827020349de991368037543ef024569b6576bcdb4a1c94c7edc80&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh
如有侵权请联系:admin#unsafe.sh