本文主要是介绍Alibaba Nacos serverIdentity存在鉴权绕过漏洞修复记录,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
Alibaba Nacos serverIdentity存在鉴权绕过漏洞
漏洞详情
Nacos 是阿里巴巴推出来的一个新开源项目,是一个更易于构连云原生应用的动态服务发现。配置管理和服务管理平台。致力于帮助发现、配置和管理徽服务。Nacos
提供了一组简单易用的特性条,可以快速实现动态服务发现、服务配置、服务元数据及流堡管理。Nacos 提供多种鉴权方式,使用配置文件缺省参效
security可未授权登陆到 Nacos 应用。
解决方案:
1、修改缺省配置:该漏洞主要以撞击 Nacos 黑 的缺省配置进行未授权访问,以此来绕过鉴权。修改配置文件
(src/nain/resources/application properties)中下列属性以修复此漏洞。
nacos.core.auth.server.identity.key
nacos.core.auth.server. identity.vaLue
2、删除可疑用户:攻击者在成功未授权登陆到
Nacos 时,可能会创
建后门账户,在 Nacos 控制台的用户管理界面,删除可疑用户。
3、限制访问控制:通常情况下 Nacos并不需要开放互联网所有用户访问权限。可以通过配置ACL或防火墙规则来确保只有必要的用户和系统可以访问 Nacos,以防止系统受到其它类型的攻击。
漏洞复现
http://192.168.233.131:8848/nacos/v1/auth/users?pageNo=1&pageSize=1
直接在浏览器进入这个地址,发现会返回nacos的一些信息
这是网上看别人进行的漏洞复现,我的漏洞并没有用此方法复现出来,我访问的时候是404
解决
然后当我信誓旦旦的去修改src/nain/resources/application.properties文件时,发现这两个属性已经有值了
nacos.core.auth.server.identity.key=serverIdentity
nacos.core.auth.server. identity.value=security
我认为是其他开发同时在使用的时候特地修改的此值。而且漏洞复现我并没有复现出来。我在怀疑这个漏洞是不是误报了。于是,我没改。
结果啪啪打脸,复扫的时候又给扫了出来。
我突然想到配置文件中的值会不会是默认值。于是找到了答案:
nacos.core.auth.server.identity.key
serverIdentity(2.2.1后无默认值)
nacos.core.auth.server.identity.value
security(2.2.1后无默认值)
然后改了下这两个属性的值(可以随机设置,如果是集群各个节点要设置为同样的值)
问题解决。
这篇关于Alibaba Nacos serverIdentity存在鉴权绕过漏洞修复记录的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!
