Nacos 身份認(rèn)證繞過(guò)漏洞
- CNNVD編號(hào):未知
- 危害等級(jí): 未知
- CVE編號(hào):未知
- 漏洞類(lèi)型: 身份認(rèn)證繞過(guò)
- 威脅類(lèi)型:遠(yuǎn)程
- 廠 商:未知
- 漏洞來(lái)源:深信服
- 發(fā)布時(shí)間:2023-03-21
- 更新時(shí)間:2023-03-21
漏洞簡(jiǎn)介
2023 年 3 月 14 日,深信服安全團(tuán)隊(duì)監(jiān)測(cè)到一則 Nacos 組件存在身份認(rèn)證繞過(guò)漏洞的信息,漏洞威脅等級(jí):高危。
該漏洞是由于 Nacos 在默認(rèn)配置下未對(duì) token.secret.key 進(jìn)行修改,導(dǎo)致默認(rèn)用戶(hù)的 token 可被惡意利用。攻擊者可利用該漏洞在未授權(quán)的情況下,繞過(guò)身份認(rèn)證機(jī)制,進(jìn)入 Nacos 服務(wù)平臺(tái)后臺(tái),獲取服務(wù)平臺(tái)權(quán)限。
漏洞公示
暫無(wú)
參考網(wǎng)站
暫無(wú)
受影響實(shí)體
暫無(wú)
補(bǔ)丁
修復(fù)建議
1.如何檢測(cè)組件系統(tǒng)版本
登錄 Nacos 服務(wù)平臺(tái),左上角即顯示了 Nacos 版本。
2.官方修復(fù)建議
當(dāng)前官方已發(fā)布最新版本,建議受影響的用戶(hù)及時(shí)更新升級(jí)到最新版本。鏈接如下:
https://github.com/alibaba/nacos/releases/
3.臨時(shí)修復(fù)建議
該臨時(shí)修復(fù)建議存在一定風(fēng)險(xiǎn),建議用戶(hù)可根據(jù)業(yè)務(wù)系統(tǒng)特性審慎選擇采用臨時(shí)修復(fù)方案:
1. Nacos 提供了修改默認(rèn) JWT token 生成 key 的配置項(xiàng):
#啟用認(rèn)證
nacos.core.auth.enabled=true
#生成 token 的密鑰
nacos.core.auth.plugin.nacos.token.secret.key=BASE64 編碼
2. 如果 Nacos 以容器環(huán)境,則將NACOS_AUTH_ENABLE=true
與 NACOS_AUTH_TOKEN=BASE64 編碼 作為環(huán)境變量傳入即可。
深信服解決方案
1.風(fēng)險(xiǎn)資產(chǎn)發(fā)現(xiàn)
支持對(duì) Nacos 組件 的主動(dòng)檢測(cè),可批量檢出業(yè)務(wù)場(chǎng)景中該事件的受影響資產(chǎn)情況,相關(guān)產(chǎn)品如下:
【深信服主機(jī)安全檢測(cè)響應(yīng)平臺(tái) CWPP】已發(fā)布資產(chǎn)檢測(cè)方案。
【深信服云鏡 YJ】已發(fā)布資產(chǎn)檢測(cè)方案。
2.漏洞主動(dòng)檢測(cè)
支持對(duì) Nacos 身份認(rèn)證繞過(guò)漏洞的主動(dòng)檢測(cè),可批量快速檢出業(yè)務(wù)場(chǎng)景中是否存在漏洞風(fēng)險(xiǎn),相關(guān)產(chǎn)品如下:
【深信服云鏡 YJ】預(yù)計(jì) 2023 年 3 月 17 日發(fā)布檢測(cè)方案。
【深信服漏洞評(píng)估工具 TSS】預(yù)計(jì) 2023 年 3 月 20 日發(fā)布檢測(cè)方案。
【深信服主機(jī)安全檢測(cè)響應(yīng)平臺(tái) CWPP】預(yù)計(jì) 2023 年 3 月 17 日發(fā)布檢測(cè)方案。
【深信服安全托管服務(wù) MSS】預(yù)計(jì) 2023 年 3 月 17 日發(fā)布檢測(cè)方案。
【深信服安全檢測(cè)與響應(yīng)平臺(tái) XDR】預(yù)計(jì) 2023 年 3 月 17 日發(fā)布檢測(cè)方案。
3.漏洞安全監(jiān)測(cè)
支持對(duì) Nacos 身份認(rèn)證繞過(guò)漏洞事件的監(jiān)測(cè),可依據(jù)流量收集實(shí)時(shí)監(jiān)控業(yè)務(wù)場(chǎng)景中的受影響資產(chǎn)情況,快速檢查受影響范圍,相關(guān)產(chǎn)品及服務(wù)如下:
【深信服安全感知管理平臺(tái) SIP】預(yù)計(jì) 2023 年 3 月 17 日發(fā)布檢測(cè)方案。
【深信服安全托管服務(wù) MSS】預(yù)計(jì) 2023 年 3 月 17 日發(fā)布檢測(cè)方案。
【深信服安全檢測(cè)與響應(yīng)平臺(tái) XDR】預(yù)計(jì) 2023 年 3 月 17 日發(fā)布檢測(cè)方案。
4.漏洞安全防護(hù)
支持對(duì) Nacos 身份認(rèn)證繞過(guò)漏洞事件的防御,可阻斷攻擊者針對(duì)該事件的入侵行為,相關(guān)產(chǎn)品及服務(wù)如下:
【深信服下一代防火墻 AF】預(yù)計(jì) 2023 年 3 月 17 日發(fā)布防護(hù)方案。
【深信服終端安全管理系統(tǒng) EDR】預(yù)計(jì) 2023 年 3 月 17 日發(fā)布防護(hù)方案。
【深信服 Web 應(yīng)用防火墻 WAF】預(yù)計(jì) 2023 年 3 月 17 日發(fā)布防護(hù)方案。
【深信服安全托管服務(wù) MSS】預(yù)計(jì) 2023 年 3 月 17 日發(fā)布防護(hù)方案。
【深信服安全檢測(cè)與響應(yīng)平臺(tái) XDR】預(yù)計(jì) 2023 年 3 月 17 日發(fā)布防護(hù)方案。
