高危漏洞 | Nacos存在认证绕过漏洞修复方案

2023-03-13 11:55

一、漏洞简述

近日,开源网安SourceCheck开源组件安全及合规管理平台监测发现Nacos存在认证绕过漏洞的风险通告,漏洞编号为CNVD-2023674205,漏洞等级:高危

Nacos 是一个开源的云原生服务发现、配置和服务管理平台,用于帮助开发人员更快构建微服务架构。

对此,开源网安SourceCheck开源组件安全及合规管理平台建议广大用户及时将Nacos升级到最新版本 2.2.0.1。与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。


二、威胁评估

三、漏洞详情

四、修复方案

1. 通用修补建议

目前官方已有可更新版本,用户可升级至 2.2.0.1 版本:


https://github.com/alibaba/nacos/releases/tag/2.2.0.1


2. 临时修补建议

a. 删除 distribution/conf/application.properties 中携带的默认 nacos.core.auth.plugin.nacos.token.secret.key 值;


b. 删除 console/src/main/resources/application.properties 中携带的默认nacos.core.auth.plugin.nacos.token.secret.key 值;

五、SourceCheck 防护方案

开源组件安全及合规管理平台(SourceCheck)是开源网安自主研发的软件成分分析 SCA 产品,用于第三方组件安全管控,包括企业组件使用管理、组件使用合规性审计、新漏洞感知预警、开源代码知识产权审计等,支持对源码及发布包检测,是OWASP Top 10 中 “易受攻击和过时的组件” 安全风险的最佳解决方案。目前开源组件SourceCheck可以通过对应用包的检测,快速识别应用是否存在CNVD-2023674205漏洞,欢迎使用。

1. 创建应用。如下图所示,选择需要添加应用的项目。

2. 检测应用。应用成功添加后,点击检测。检测完成后在应用列表中展示该应用的检测结果,同时可以看到开源组件使用情况。

3. 查看结果。进入应用,可以看到组件信息、漏洞信息、许可信息等其他相关信息。在组件信息中可以看到应用Nacos中通过配置文件方式引入了com.alibaba.nacos:nacos-plugin-default-impl@2.2.0版本,该版本存在高危漏洞。

4. 查看漏洞信息。可以看到应用Nacos中存在CNVD-2023674205漏洞,在SourceCheck中编号为SZ-2023-02725。

5. 漏洞详情。点击 CNVD-2023674205,可以查看详细的漏洞情况及修复方式等信息。

至此,可以看到开源网安SourceCheck开源组件安全及合规管理平台可实现自动化、无感知地对企业级软件资产信息进行收集与管理,使软件资产分布可视化;并提供软件资产跟踪定位和管控、新漏洞的自检和预警,以及对自研组件和程序代码的许可合规性进行检测。