【漏洞通告】Nacos 身份认证绕过漏洞

安全通告
漏洞信息
-
漏洞名称:Nacos 身份认证绕过漏洞
-
编号:NVDB-CNVDB-2023674205
-
风险等级:高危
漏洞概述
近几日,君立华域虎贲实验室发现在默认配置情况下,Nacos会使用一个固定的JWT令牌密钥来对用户进行认证和授权。这个密钥是公开已知的,因此,未经授权的攻击者可以使用这个固定密钥伪造任意用户身份登录Nacos并执行管理操作后台接口的功能。
影响范围
0.1.0 <= Nacos <= 2.2.0
复现情况
登录时输入任意用户密码抓包,将返回包修改如下即可绕过登录认证。


修复建议

目前官方已经发布最新版,建议受影响的用户更新到最新版本,更新链接如下:
https://github.com/alibaba/nacos/releases/
无法进行升级的用户可进行修改配置文件application.properties
中的JWT token secretkey 为自定义密钥,具体步骤可参考文档:
https://nacos.io/zh-cn/docs/v2/guide/user/auth.html
君立华域虎贲实验室建议用户应将Nacos部署在内网环境中,同时开启鉴权,设置自定义密钥提高安全性,还要注意及时升级到最新版本,以防止版本过时造黑客利用。

参考链接

https://nacos.io/zh-cn/blog/announcement-token-secret-key.html
https://github.com/alibaba/nacos/issues/10060