文章前言
今天早上起来后看到"奇安信CERT"发了一篇"【已复现】Nacos 身份认证绕过漏洞安全风险通告"的文章,点开之后看了一下漏洞描述以及复现载荷,发现这个和22年11月的时候一起与曜总(@甲壳虫)一起测试Nacos历史漏洞时发现的新的漏洞一致,不过我们当时赋予的名字并非这个,而是另一个更加直接的(很多人只要一看就知道是啥的那种),这里仅做一个简单的介绍,当然exp就不给出了,有兴趣的可以自己搭建一个环境试试,很简单
影响范围
Nacos 0.1.0 ~2.2.0
利用条件
用户部署的Nacos未修改默认的 token.secret.key
漏洞等级
中等偏上(外网很少,内网居多+无需任何认证直接调用接口操作)
漏洞成因
Nacos搭建时使用默认的token.secret.key属性
环境搭建
下载安装文件:
https://github.com/alibaba/nacos
之后执行以下命令启动环境
./startup.sh -m standalone
之后访问http://your-ip:8848/nacos,默认账号密码为:nacos/nacos
漏洞复现
Step 1:获取用户名(可用历史漏洞也可以自我进行猜解)
Step 2:发送一下请求数据包重置密码
Step 3:登录
修复建议
1、应用切换内网
2、更新到最新版本:
https://github.com/alibaba/nacos/releases/tag/2.2.0.1
3、更改application.properties文件中token.secret.key默认值具体更改方法可参考:https://nacos.io/zh-cn/docs/v2/guide/user/auth.html