【网络安全】Nacos Client Yaml反序列化漏洞分析

最新推荐文章于 2024-06-10 19:40:21 发布
最新推荐文章于 2024-06-10 19:40:21 发布
阅读量5.5k 收藏 5
点赞数
分类专栏: 网络 安全 漏洞 文章标签: 网络安全 java 计算机网络 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/HBohan/article/details/120782470
版权

在这里插入图片描述

背景

Nacos 致力于帮助您发现、配置和管理微服务。Nacos 提供了一组简单易用的特性集,帮助您快速实现动态服务发现、服务配置、服务元数据及流量管理。

Nacos 帮助您更敏捷和容易地构建、交付和管理微服务平台。 Nacos 是构建以“服务”为中心的现代应用架构 (例如微服务范式、云原生范式) 的服务基础设施。

Nacos是阿里巴巴于2018年开源的项目,目前在Github中已获得 19.8kSt,由此可见其的使用广泛程度。

未授权访问漏洞

threedr3am师傅在去年十二月份的时候在Github上给Nacos项目提交了Bypass 认证的Issue,详情可移步https://github.com/alibaba/nacos/issues/4593。在该Issue中提及了漏洞详情,Nacos的认证过滤器中会判断客户端的User-Agent如果是以Constants.NACOS_SERVER_HEADER(Nacos-Server)开头的话,则直接return返回。
在这里插入图片描述
对于上述的认证绕过漏洞争议很大,Nacos官方起初并不认为这是一个安全漏洞的问题,不过还是在1.4.1版本中发布了漏洞修复补丁。在1.4.1版本中需要在 application.properties添加nacos.core.auth.enable.userAgentAuthWhite的属性值为false,即可避免使用User-Agent绕过鉴权的问题,但这也引发了新的Bypass,具体的漏洞详情可移步至https://github.com/alibaba/nacos/issues/4701,不再赘述。

客户端Yaml反序列化

在Nacos的releases记录中搜索 yaml 关键字不难发现其在1.4.2版本中有个PR更新了Yaml的安全解析:
在这里插入图片描述
而根据PR的描述内容可知实际上该漏洞只影响单独使用 nacos-client SDK的用户,原因在于spring cloud、springboot、dubbo等框架中并非使用的 AbstractConfigChangeListener 监听配置,所以该漏洞只影响了使用AbstractConfigChangeListener监听配置的客户端。
在这里插入图片描述

漏洞分析

首先在Nacos服务端中添加一个用于测试监听的配置:

在这里插入图片描述

使用Maven引入nacos-client依赖:

<dependency>
    <groupId>com.alibaba.nacos</groupId>
    <artifactId>nacos-client</artifactId>
    <version>1.4.1</version>
最低0.47元/天 解锁文章
IT老涵
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
工具推荐-针对Nacos利器-NacosExploitGUI_v4.0
mashiro_hibiki的博客
04-07 402
集成Nacos的各种pocNacos控制台默认口令漏洞(nacos,nacos)Nacostoken.secret.key默认配置(QVD-2023-6271)Nacos-clientYaml反序列化漏洞Nacos Jraft Hessian反序列化漏洞(QVD-2023-13065)Nacos User-Agent权限绕过(CVE-2021-29441)Nacos Derby SQL注入漏洞(CNVD-2020-67618)可以很快的扫描出存在的漏洞批量扫描多个目标查看数据内容。
Nacos 反序列化漏洞初步探针
kkdgyb6的博客
06-12 3184
方法首先创建一个ByteArrayOutputStream对象和一个Hessian2Output对象,将ByteArrayOutputStream对象传递给Hessian2Output的构造函数进行初始化,然后通过调用setSerializerFactory方法设置序列化工厂,之后调用writeObject方法将对象写入输出流中,并通过close方法关闭Hessian2Output对象,最后返回ByteArrayOutputStream对象中的字节数组。例如,攻击者可以将类路径或类名随意修改,借此利用。
上心师傅的思路分享(三)--Nacos渗透
最新发布
weixin_72543266的博客
06-10 1489
Nacos 是阿里巴巴推出来的一个开源项目,是一个更易于构建云原生应用的动态服务发现、配置管理和服务管理平台。致力于帮助发现、配置和管理微服务。Nacos 提供了一组简单易用的特性集,可以快速实现动态服务发现、服务配置、服务元数据及流量管理。但是Nacos是部署在内网的,因此下面通过语法搜索出来的可以看到的,一般会做访问限制的,正常是访问不到的,如果可以访问就可以尝试是否存在漏洞了.当然如果直接在真实环境下测试,一是未授权行为,二是不容易找到复现环境,所以在本地搭建环境来进行复现是最安全,也是最容易。
Nacos集群Raft反序列化漏洞-修复
epmgy315的博客
06-08 3252
近日,奇安信CERT监测到Nacos 集群Raft反序列化漏洞(QVD-2023-13065),在Nacos集群处理部分Jraft请求时,攻击者可以无限制使用hessian进行反序列化利用,最终实现代码执行。鉴于该漏洞仅影响集群间通信端口 7848(默认配置下),若部署时已进行限制或未暴露则风险可控,建议客户做好自查及防护。 目前官方已发布安全修复更新,受影响用户可以升级到Nacos 1.4....
附录(Nacos 反序列化漏洞初步探针)
kkdgyb6的博客
06-12 870
在deserialize方法中,我们通过指定泛型类型T来确定反序列化后的具体类型,并将反序列化得到的对象强制转换为T类型,并返回该对象。需要注意的是,在调用deserialize方法时,由于我们指定了泛型类型T,编译器会根据T的具体类型来推断反序列化后的对象类型,并生成合适的代码进行类型转换。因此,通过定义一个重载的deserialize方法,我们可以在不使用泛型参数的情况下指定反序列化后的具体类型,并且可以使用Type类型表示更多类型的对象,从而提高代码的灵活性和可扩展性。
6!Nacos反序列化漏洞利用工具v0.5
潇湘信安的博客
07-18 1843
刨洞安全@凉风师傅写的一个 Nacos Hessian 反序列化漏洞利用工具,目前已更新到v0.5,欢迎Star!
nacos 2.2.2 反序列化
weixin_45805993的博客
09-19 795
漏洞描述 Nacos在处理某些基于Jraft的请求时,采用Hessian进行反序列化,但并未设置限制,导致应用存在远程代码执行(RCE)漏洞。 触发点分析 https://github.com/alibaba/nacos/pull/10542/files 可以看出来是SerializerFactory的锅 定位 src/main/java/com/alibaba/nacos/consistency/serialize/HessianSerializer.java 使用类为com/alibaba/nacos/
Nacos漏洞综合利用GUI工具(完整源码+说明)(身份认证绕过漏洞反序列化漏洞的检测及其利用).zip
03-27
【资源说明】 1、该资源内项目代码都是经过测试运行成功,功能正常的情况下才上传...Nacos漏洞综合利用GUI工具(源码+项目说明)(集成默认口令漏洞、SQL注入漏洞、身份认证绕过漏洞反序列化漏洞的检测及其利用).zip
nacos-k8s-yaml.zip
09-01
本文将深入探讨如何使用YAML文件在k8s上部署Nacos集群,以及如何结合NFS(Network File System)实现数据的持久化。 首先,了解Kubernetes YAML文件是至关重要的。YAML是k8s集群中定义资源对象的标准化格式,用于...
nacos-client-2.0.3-API文档-中文版.zip
05-09
赠送jar包:nacos-client-2.0.3.jar; 赠送原API文档:nacos-client-2.0.3-javadoc.jar; 赠送源代码:nacos-client-2.0.3-sources.jar; 赠送Maven依赖信息文件:nacos-client-2.0.3.pom; 包含翻译后的API文档:...
docker-compose,nacosyaml,日志文件
01-17
这样可以方便地收集、查看和分析Nacos服务的运行日志。 在实际应用中,`ins-os-mq-custom`可能是一个与消息队列相关的自定义服务或者配置文件,但具体信息由于未提供详细内容,无法进一步展开。不过,结合Docker ...
nacos-client-2.0.4.RELEASE-API文档-中文版.zip
05-09
赠送jar包:nacos-client-2.0.4.RELEASE.jar; 赠送原API文档:nacos-client-2.0.4.RELEASE-javadoc.jar; 赠送源代码:nacos-client-2.0.4.RELEASE-sources.jar; 赠送Maven依赖信息文件:nacos-client-2.0.4....
【严重】Nacos 集群Raft反序列化漏洞
murphysec的博客
06-07 3672
墨菲安全是一家为您提供专业的软件供应链安全管理的科技公司,核心团队来自百度、华为、乌云等企业,公司为客户提供完整的软件供应链安全管理平台,围绕SBOM提供软件全生命周期的安全管理,平台能力包括软件成分分析、源安全管理、容器镜像检测、漏洞情报预警及商业软件供应链准入评估等多个产品。产品可以极低成本的和现有开发流程中的各种工具一键打通,包括 IDE、Gitlab、Bitbucket、Jenkins、Harbor、Nexus 等数十种工具无缝集成。Nacos是一个用于动态服务发现和配置以及服务管理的平台。
Nacos 实战 & 理论
刘元雄
04-12 688
Nacos 实战 & 理论
Nacos身份认证权限绕过+漏洞利用工具分享
zkaqlaoniao的博客
12-26 1142
单点登录是现在广泛使用的JWT的一个特性,因为它的开销很小,并且可以轻松地跨域使用。该信息可以被验证和信任,因为它是数字签名的。为了得到签名部分,你必须有编码过的header、编码过的payload、一个秘钥,签名算法是header中指定的那个,然对它们签名即可。4.复制上面得到的值,抓包修改包,添加Authorization值,发送到nacos,获取到登录成功的带有token的响应包。环境搭建、HTML,PHP,MySQL基础学习,信息收集,SQL注入,XSS,CSRF,暴力破解等等。
Nacos系列——配置的创建与获取
qq_51553982的博客
12-18 3027
这里仅需要一个简单的SpringBoot工程即可,如果您下载了对应的资源,那么仅需要查看资源内部README文档进行对应修改即可,下面我们将从0构建Nacos-easy。如果我们增加新的配置只需要在yaml中进行修改即可,输出就会改变了。选择下载:Nacos-easy。
Nacos 集群Raft反序列化漏洞
08-18
对于 Nacos 集群中的 Raft 反序列化漏洞,我可以提供一些相关信息。请注意,我是一个 AI 助手,我的回答仅供参考,并不能保证完全准确或详尽无遗。 Nacos 是一个用于动态服务发现、配置管理和服务管理的开源项目。在 Nacos 中,Raft 是一种一致性算法,用于保证集群中的数据一致性和高可用性。 关于 Nacos 集群中的 Raft 反序列化漏洞,可能是指在 Raft 算法的实现中存在的安全漏洞。具体细节需要查阅相关安全公告或漏洞报告以获取准确信息。 为了保护 Nacos 集群免受此类漏洞的影响,建议采取以下措施: 1. 及时更新和升级:确保使用的 Nacos 版本是最新的,以便获得漏洞修复和安全增强的补丁。 2. 加强访问控制:限制访问 Nacos 集群的权限,并使用强密码和身份验证来保护集群的安全。 3. 防火墙配置:使用防火墙和网络安全策略来限制对 Nacos 集群的访问,并仅允许受信任的主机进行通信。 4. 安全审计和监控:实施安全审计和监控机制,及时检测和响应任何异常活动和攻击尝试。 5. 参考安全建议:查阅 Nacos 官方文档和安全指南,了解最佳实践和安全建议,并根据需要进行相应的配置和调整。 请注意,这些建议仅供参考,具体的安全防护措施应根据实际情况进行评估和实施。同时,及时关注 Nacos 官方发布的安全公告和更新,以获取最新的安全信息。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值