漏洞风险提示| Nacos 身份认证绕过漏洞

chenqiang

原文链接：漏洞风险提示| Nacos 身份认证绕过漏洞



        长亭漏洞风险提示      

Nacos 身份认证绕过漏洞

Nacos 是一个便于构建云原生应用的动态服务发现、配置管理和服务管理平台，它提供了一组简单易用的特性集，能帮助开发者快速实现动态服务发现、服务配置、服务元数据及流量管理。

3月2日，Nacos 官方发布安全补丁，修复了一处身份验证绕过漏洞（NVDB-CNVDB-2023674205），漏洞危害等级为高危。

漏洞描述

Nacos 在默认配置下使用固定的 JWT token 密钥来对用户进行认证鉴权，由于 Nacos 是开源项目，该密钥是公开已知的，因此未授权的攻击者可用此固定密钥伪造任意用户身份登录 Nacos，管理操作后台接口功能。

影响范围

0.1.0 <= Nacos <= 2.2.0

解决方案

Nacos 官方已发布相应的补丁修复漏洞，用户可通过更新升级到Nacos 2.2.0.1 版本进行漏洞修复：

https://github.com/alibaba/nacos/releases/tag/2.2.0.1

无法进行版本升级的用户可修改 Nacos 配置文件 application.properties 中 JWT token secretkey 配置项为自定义密钥进行漏洞修复，具体配置步骤可参考官方文档：https://nacos.io/zh-cn/docs/v2/guide/user/auth.html

此外，Nacos 定义为一个应用服务发现和配置管理中间件服务，这类应用一般应该部署于内部网络环境，因此不建议用户将Nacos暴露在公网环境。同时应开启鉴权，设置自定义token.secret.key，并修改nacos用户的密码，提高安全性。另外，即使升级到最新版本，开启鉴权并修改了token.secret.key和nacos用户的密码，也请不要暴露在公网环境使用。

产品支持

云图：默认支持该产品的指纹与受影响范围识别，同时支持该漏洞的检测。

参考资料

• https://nacos.io/zh-cn/blog/announcement-token-secret-key.html