Nacos集群Raft反序列化漏洞-修复

最新推荐文章于 2024-08-19 12:18:48 发布
最新推荐文章于 2024-08-19 12:18:48 发布
阅读量3.3k 收藏 3
点赞数 1
文章标签: java jvm 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/epmgy315/article/details/131119347
版权

近日,奇安信CERT监测到 Nacos 集群Raft反序列化漏洞(QVD-2023-13065),在Nacos集群处理部分Jraft请求时,攻击者可以无限制使用hessian进行反序列化利用,最终实现代码执行。鉴于该漏洞仅影响集群间通信端口 7848(默认配置下),若部署时已进行限制或未暴露则风险可控,建议客户做好自查及防护。

目前官方已发布安全修复更新,受影响用户可以升级到Nacos 1.4.6、Nacos 2.2.3。如果不能更新需要封禁7848端口来缓解该漏洞。

之前nacos2.0.3是通过docker镜像安装的,最新版本nacos2.2.3官网无提供镜像包,故需自己制作镜像包。

1)获取nacos镜像构建的docker 镜像包。

git clone https://github.com/nacos-group/nacos-docker.git 

2)修改Dockerfile配置文件

ARG NACOS_VERSION=2.2.3

#此处修改成nacos自己需要最新的版本号。

具体Dockerfile 内容如下:

FROM centos:7.9.2009
LABEL maintainer="pader <huangmnlove@163.com>"

# set environment
ENV MODE="standalone" \
PREFER_HOST_MODE="ip"\
BASE_DIR="/home/nacos" \
CLASSPATH=".:/home/nacos/conf:$CLASSPATH" \
CLUSTER_CONF="/home/nacos/conf/cluster.conf" \
FUNCTION_MODE="all" \
JAVA_HOME="/usr/lib/jvm/java-1.8.0-openjdk" \
NACOS_USER="nacos" \
JAVA="/usr/lib/jvm/java-1.8.0-openjdk/bin/java" \
JVM_XMS="1g" \
JVM_XMX="1g" \
JVM_XMN="512m" \
JVM_MS="128m" \
JVM_MMS="320m" \
NACOS_DEBUG="n" \
TOMCAT_ACCESSLOG_ENABLED="false" \
TIME_ZONE="Asia/Shanghai"

ARG NACOS_VERSION=2.2.3
ARG HOT_FIX_FLAG=""

WORKDIR $BASE_DIR

RUN set -x \
&& yum update -y \
&& yum install -y java-1.8.0-openjdk java-1.8.0-openjdk-devel iputils nc vim libcurl \
&& yum clean all
RUN curl -SL https://github.com/alibaba/nacos/releases/download/${NACOS_VERSION}${HOT_FIX_FLAG}/nacos-server-${NACOS_VERSION}.tar.gz -o /home/nacos-server.tar.gz \
&& tar -zxvf /home/nacos-server.tar.gz -C /home \
&& rm -rf /home/nacos-server.tar.gz /home/nacos/bin/* /home/nacos/conf/*.properties /home/nacos/conf/*.example /home/nacos/conf/nacos-mysql.sql \
&& ln -snf /usr/share/zoneinfo/$TIME_ZONE /etc/localtime && echo $TIME_ZONE > /etc/timezone

ADD bin/docker-startup.sh bin/docker-startup.sh
ADD conf/application.properties conf/application.properties

# set startup log dir
RUN mkdir -p logs \
&& touch logs/start.out \
&& ln -sf /dev/stdout start.out \
&& ln -sf /dev/stderr start.out
RUN chmod +x bin/docker-startup.sh

EXPOSE 8848
ENTRYPOINT ["bin/docker-startup.sh"]

3)构建镜像:

docker build -t nacos/nacosbuild   .

4)nacos服务跑起来

docker run  -d  --name  nacosbuild  -p 8848:8848  -p 9848:9848  nacos/nacosbuild

 5)访问验证一下版本号:

 6)使用compose方式

[root@mysql2 nacos]# more docker-compose.yml
version: '3'
services:
nacos:
restart: always
image: nacos/nacos-server:2.2.3
container_name: nacos223
privileged: true
environment:
- JVM_XMS=512m
- JVM_XMX=512m
- JVM_XMN=256m
- PREFER_HOST_MODE=ip
- MODE=standalone
- NACOS_APPLICATION_PORT=8848
- NACOS_SERVERS=192.168.184.189
- SPRING_DATASOURCE_PLATFORM=mysql
- MYSQL_SERVICE_HOST=192.122.0.111
- MYSQL_SERVICE_PORT=8806
- MYSQL_SERVICE_USER=root
- MYSQL_SERVICE_PASSWORD=123456
- MYSQL_SERVICE_DB_NAME=nacos
- NACOS_SERVER_IP=192.168.184.189
- MYSQL_SERVICE_DB_PARAM=allowPublicKeyRetrieval=true&rewriteBatchedStatements=true&characterEncoding=UTF8&serverTimezone=UTC&connectTimeout=10000&socketTimeout=3000
0&autoReconnect=true&useSSL=false
network_mode: host

epmgy315
关注
【网络安全】Nacos Client Yaml反序列化漏洞分析
HBohan的博客
10-15 5778
背景 Nacos 致力于帮助您发现、配置和管理微服务。Nacos 提供了一组简单易用的特性集,帮助您快速实现动态服务发现、服务配置、服务元数据及流量管理。 Nacos 帮助您更敏捷和容易地构建、交付和管理微服务平台。 Nacos 是构建以“服务”为中心的现代应用架构 (例如微服务范式、云原生范式) 的服务基础设施。 Nacos是阿里巴巴于2018年开源的项目,目前在Github中已获得 19.8kSt,由此可见其的使用广泛程度。 未授权访问漏洞 threedr3am师傅在去年十二月份的时候在Github上.
NACOS漏洞问题及修复(CVE-2021-29441)
热门推荐
Hoopy_Hoopy的博客
09-14 1万+
目录 1.漏洞相关问题 2.场景复现 2.1访问用户列表界面 2.2添加新用户 2.3再次查看用户列表 3.nacos升级 4.代码升级 1.漏洞相关问题 漏洞相关地址 CVE-2021-29441 - Nacos is a platform designed for dynamic service discovery and configuration and service management. - CVE-Searchhttps://cve.circl.lu/cve/CVE-20
【严重】Nacos 集群Raft反序列化漏洞
murphysec的博客
06-07 3862
墨菲安全是一家为您提供专业的软件供应链安全管理的科技公司,核心团队来自百度、华为、乌云等企业,公司为客户提供完整的软件供应链安全管理平台,围绕SBOM提供软件全生命周期的安全管理,平台能力包括软件成分分析、源安全管理、容器镜像检测、漏洞情报预警及商业软件供应链准入评估等多个产品。产品可以极低成本的和现有开发流程中的各种工具一键打通,包括 IDE、Gitlab、Bitbucket、Jenkins、Harbor、Nexus 等数十种工具无缝集成。Nacos是一个用于动态服务发现和配置以及服务管理的平台。
nacos漏洞小结
qq_61475980的博客
07-01 2876
Alibaba Nacos是阿里巴巴推出来的一个新开源项目,是一个更易于的动态服务发现、配置管理和服务管理平台。致力于帮助发现、配置和管理微服务。Nacos提供了一组简单易用的特性集,可以快速实现动态服务发现、服务配置、服务元数据及流量管理。在路径后面加上可以获取到已有的用户名和密码,可以把User-Agent头改为Nacos-Server,如图更改提交方式为POST, 访问新建一个账号test111,可以看到创建用户成功,如图更改提交方式为DELETE, 访问可以看到用户删除成功,如图更改提交方式为。
Nacos 反序列化漏洞初步探针
kkdgyb6的博客
06-12 3265
方法首先创建一个ByteArrayOutputStream对象和一个Hessian2Output对象,将ByteArrayOutputStream对象传递给Hessian2Output的构造函数进行初始化,然后通过调用setSerializerFactory方法设置序列化工厂,之后调用writeObject方法将对象写入输出流中,并通过close方法关闭Hessian2Output对象,最后返回ByteArrayOutputStream对象中的字节数组。例如,攻击者可以将类路径或类名随意修改,借此利用。
渗透测试实战-菠菜站渗透测试(Nacos反序列化漏洞利用)
最新发布
haosha。的博客
08-19 1502
渗透测试实战-菠菜站渗透测试(Nacos Jraft Hessian反序列化漏洞利用)
探索 Nacos反序列化漏洞CNVD-2023-45001
修己xj的博客
04-19 679
安全是软件开发过程中的重中之重,漏洞修复和安全加固工作应该得到充分重视。针对 Nacos 反序列化漏洞,我们应该及时采取措施修复漏洞,保障系统的安全稳定运行。
附录(Nacos 反序列化漏洞初步探针)
kkdgyb6的博客
06-12 915
在deserialize方法中,我们通过指定泛型类型T来确定反序列化后的具体类型,并将反序列化得到的对象强制转换为T类型,并返回该对象。需要注意的是,在调用deserialize方法时,由于我们指定了泛型类型T,编译器会根据T的具体类型来推断反序列化后的对象类型,并生成合适的代码进行类型转换。因此,通过定义一个重载的deserialize方法,我们可以在不使用泛型参数的情况下指定反序列化后的具体类型,并且可以使用Type类型表示更多类型的对象,从而提高代码的灵活性和可扩展性。
Nacos漏洞总结复现
heike_Ch的博客
04-23 1355
Nacos中发现影响Nacos <= 2.1.0的问题,Nacos用户使用默认JWT密钥导致未授权访问漏洞。通过该漏洞,攻击者可以绕过用户名密码认证,直接登录Nacos用户。
Nacos 集群Raft反序列化漏洞
08-18
对于 Nacos 集群中的 Raft 反序列化漏洞,我可以提供一些相关信息。请注意,我是一个 AI 助手,我的回答仅供参考,并不能保证完全准确或详尽无遗。 Nacos 是一个用于动态服务发现、配置管理和服务管理的开源项目。...
Nacos 1.4.1 紧急升级修复Alibaba Nacos 认证绕过漏洞
bufegar0的博客
01-14 6830
使用背景 Nacos是Spring Cloud Alibaba的微服务的配置和发现的组件,目前暴露出安全漏洞,主要包括如下: 根据Nacos官方在github发布的issue,Alibaba Nacos存在一处认证绕过漏洞。由于对User-Agent字段判断规则不完善,Nacos开启鉴权后攻击者仍可以绕过鉴权访问任意http接口,从而进行访问用户列表、添加用户等任意操作,风险极大。 官方紧急修复 用户升级至Nacos 1.4.1版本后即可解决此问题。 特征 -[ #978 ]支持IPv6。 -[ #3917
2023年攻防演练利器之必修高危漏洞合集(包含详细修复建议)
08-03
**Nacos 集群 Raft 反序列化漏洞**:这些漏洞涉及不同软件,包括ThinkPHP、WebLogic、禅道项目管理系统、Smartbi等,涵盖了远程代码执行、命令执行、身份认证绕过等多种类型,修复方法多为升级软件、应用安全补丁或...
QVD-2023-13065-关于Nacos集群Raft反序列化漏洞整改报告
binyan_x的博客
12-15 426
近日,新华三盾山实验室监测到Nacos集群Raft反序列化漏洞相关信息,攻击者利用该漏洞可通过反序列化利用实现执行恶意代码。由于Nacos集群中存在Raft反序列化漏洞,在Nacos集群处理部分Jraft请求时,恶意攻击者可以通过使用hessian进行反序列化利用,从而实现代码执行。该漏洞Nacos默认配置下仅影响集群间的7848通信端口。Nacos集群Raft反序列化漏洞是系统安全中新出现的问题,我们需要加强安全意识和管理,同时对系统的安全性进行评估和监测,及时发现并解决风险,保障系统的安全。
nacos 2.2.2 反序列化
weixin_45805993的博客
09-19 931
漏洞描述 Nacos在处理某些基于Jraft的请求时,采用Hessian进行反序列化,但并未设置限制,导致应用存在远程代码执行(RCE)漏洞。 触发点分析 https://github.com/alibaba/nacos/pull/10542/files 可以看出来是SerializerFactory的锅 定位 src/main/java/com/alibaba/nacos/consistency/serialize/HessianSerializer.java 使用类为com/alibaba/nacos/
nacos漏洞汇总
潇逗
06-27 1888
Alibaba Nacos是阿里巴巴推出来的一个新开源项目,是一个更易于构建云原生应用的动态服务发现、配置管理和服务管理平台。致力于帮助发现、配置和管理微服务。Nacos提供了一组简单易用的特性集,可以快速实现动态服务发现、服务配置、服务元数据及流量管理。指纹:app=“nacos”默认密码nacos nacos
JDK安装2023最完整教程与配置(零基础)
bdfcfff77fa的博客
06-19 1400
JDK安装2023最完整教程与配置(零基础)
Nacos升级到2.2.3 解决Jraft Hessian反序列漏洞
l_mmf的博客
09-11 1142
【升级NacosNacos升级到2.2.3 解决Jraft Hessian反序列漏洞
NACOS漏洞深入解析(审计+复现)
qq_49849300的博客
03-27 5072
目前攻防对抗实战中,Nacos的环境遇到非常多,并且无一例外都没有开启auth,很多防守方甚至只是用防火墙阻断网上公开的那几条exp利用的关键地址,Nacos里面保存了企业很多的配置文件比如数据库连接信息、AK/SK信息等等,拿到账号密码等信息之后用来做密码本,然后再进行内网横向,杀伤力非常之大。看一下/config/src/main/java/com/alibaba/nacos/config/server/controller/ConfigController.java文件中369行开始的代码。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值