Nacos 身份认证绕过漏洞
- CNNVD编号:未知
- 危害等级: 未知
- CVE编号:未知
- 漏洞类型: 身份认证绕过
- 威胁类型:远程
- 厂 商:未知
- 漏洞来源:深信服
- 发布时间:2023-03-21
- 更新时间:2023-03-21
漏洞简介
2023 年 3 月 14 日,深信服安全团队监测到一则 Nacos 组件存在身份认证绕过漏洞的信息,漏洞威胁等级:高危。
该漏洞是由于 Nacos 在默认配置下未对 token.secret.key 进行修改,导致默认用户的 token 可被恶意利用。攻击者可利用该漏洞在未授权的情况下,绕过身份认证机制,进入 Nacos 服务平台后台,获取服务平台权限。
漏洞公示
暂无
参考网站
暂无
受影响实体
暂无
补丁
修复建议
1.如何检测组件系统版本
登录 Nacos 服务平台,左上角即显示了 Nacos 版本。
2.官方修复建议
当前官方已发布最新版本,建议受影响的用户及时更新升级到最新版本。链接如下:
https://github.com/alibaba/nacos/releases/
3.临时修复建议
该临时修复建议存在一定风险,建议用户可根据业务系统特性审慎选择采用临时修复方案:
1. Nacos 提供了修改默认 JWT token 生成 key 的配置项:
#启用认证
nacos.core.auth.enabled=true
#生成 token 的密钥
nacos.core.auth.plugin.nacos.token.secret.key=BASE64 编码
2. 如果 Nacos 以容器环境,则将NACOS_AUTH_ENABLE=true
与 NACOS_AUTH_TOKEN=BASE64 编码 作为环境变量传入即可。
深信服解决方案
1.风险资产发现
支持对 Nacos 组件 的主动检测,可批量检出业务场景中该事件的受影响资产情况,相关产品如下:
【深信服主机安全检测响应平台 CWPP】已发布资产检测方案。
【深信服云镜 YJ】已发布资产检测方案。
2.漏洞主动检测
支持对 Nacos 身份认证绕过漏洞的主动检测,可批量快速检出业务场景中是否存在漏洞风险,相关产品如下:
【深信服云镜 YJ】预计 2023 年 3 月 17 日发布检测方案。
【深信服漏洞评估工具 TSS】预计 2023 年 3 月 20 日发布检测方案。
【深信服主机安全检测响应平台 CWPP】预计 2023 年 3 月 17 日发布检测方案。
【深信服安全托管服务 MSS】预计 2023 年 3 月 17 日发布检测方案。
【深信服安全检测与响应平台 XDR】预计 2023 年 3 月 17 日发布检测方案。
3.漏洞安全监测
支持对 Nacos 身份认证绕过漏洞事件的监测,可依据流量收集实时监控业务场景中的受影响资产情况,快速检查受影响范围,相关产品及服务如下:
【深信服安全感知管理平台 SIP】预计 2023 年 3 月 17 日发布检测方案。
【深信服安全托管服务 MSS】预计 2023 年 3 月 17 日发布检测方案。
【深信服安全检测与响应平台 XDR】预计 2023 年 3 月 17 日发布检测方案。
4.漏洞安全防护
支持对 Nacos 身份认证绕过漏洞事件的防御,可阻断攻击者针对该事件的入侵行为,相关产品及服务如下:
【深信服下一代防火墙 AF】预计 2023 年 3 月 17 日发布防护方案。
【深信服终端安全管理系统 EDR】预计 2023 年 3 月 17 日发布防护方案。
【深信服 Web 应用防火墙 WAF】预计 2023 年 3 月 17 日发布防护方案。
【深信服安全托管服务 MSS】预计 2023 年 3 月 17 日发布防护方案。
【深信服安全检测与响应平台 XDR】预计 2023 年 3 月 17 日发布防护方案。
