一、漏洞简述
近日,开源网安SourceCheck开源组件安全及合规管理平台监测发现Nacos存在认证绕过漏洞的风险通告,漏洞编号为CNVD-2023674205,漏洞等级:高危。
Nacos 是一个开源的云原生服务发现、配置和服务管理平台,用于帮助开发人员更快构建微服务架构。
对此,开源网安SourceCheck开源组件安全及合规管理平台建议广大用户及时将Nacos升级到最新版本 2.2.0.1。与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。
二、威胁评估
三、漏洞详情
目前官方已有可更新版本,用户可升级至 2.2.0.1 版本:
https://github.com/alibaba/nacos/releases/tag/2.2.0.1
a. 删除 distribution/conf/application.properties 中携带的默认 nacos.core.auth.plugin.nacos.token.secret.key 值;
b. 删除 console/src/main/resources/application.properties 中携带的默认nacos.core.auth.plugin.nacos.token.secret.key 值;
五、SourceCheck 防护方案
开源组件安全及合规管理平台(SourceCheck)是开源网安自主研发的软件成分分析 SCA 产品,用于第三方组件安全管控,包括企业组件使用管理、组件使用合规性审计、新漏洞感知预警、开源代码知识产权审计等,支持对源码及发布包检测,是OWASP Top 10 中 “易受攻击和过时的组件” 安全风险的最佳解决方案。目前开源组件SourceCheck可以通过对应用包的检测,快速识别应用是否存在CNVD-2023674205漏洞,欢迎使用。
1. 创建应用。如下图所示,选择需要添加应用的项目。
2. 检测应用。应用成功添加后,点击检测。检测完成后在应用列表中展示该应用的检测结果,同时可以看到开源组件使用情况。
3. 查看结果。进入应用,可以看到组件信息、漏洞信息、许可信息等其他相关信息。在组件信息中可以看到应用Nacos中通过配置文件方式引入了com.alibaba.nacos:nacos-plugin-default-impl@2.2.0版本,该版本存在高危漏洞。
4. 查看漏洞信息。可以看到应用Nacos中存在CNVD-2023674205漏洞,在SourceCheck中编号为SZ-2023-02725。
5. 漏洞详情。点击 CNVD-2023674205,可以查看详细的漏洞情况及修复方式等信息。
至此,可以看到开源网安SourceCheck开源组件安全及合规管理平台可实现自动化、无感知地对企业级软件资产信息进行收集与管理,使软件资产分布可视化;并提供软件资产跟踪定位和管控、新漏洞的自检和预警,以及对自研组件和程序代码的许可合规性进行检测。