阿里 Nacos 惊爆,安全漏洞以绕过身份验证(附修复建议)

最新推荐文章于 2024-08-18 12:59:59 发布
最新推荐文章于 2024-08-18 12:59:59 发布
阅读量1.5k 收藏 5
点赞数
分类专栏: Java 文章标签: java spring spring boot 安全 spring cloud alibaba
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_52987358/article/details/112830030
版权
文章揭示了Nacos 1.4.1版本中一个关于User-Agent绕过身份验证的安全漏洞,详细介绍了漏洞细节、影响范围和复现过程。作者提供了修复建议,包括更新到最新版本来防止鉴权问题,并提醒用户关注官方修复的bug。
摘要由CSDN通过智能技术生成

来源:github.com/alibaba/nacos/issues/4701
一、漏洞详情
二、漏洞影响范围
三、漏洞复现
三、 修复建议
BugFix
大家好,我是threedr3am,我发现nacos最新版本1.4.1对于User-Agent绕过安全漏洞的serverIdentity key-value修复机制,依然存在绕过问题,在nacos开启了serverIdentity的自定义key-value鉴权后,通过特殊的url构造,依然能绕过限制访问任何http接口。
通过查看该功能,需要在application.properties添加配置nacos.core.auth.enable.userAgentAuthWhite:false,才能避免User-Agent: Nacos-Server绕过鉴权的安全问题。
但在开启该机制后,我从代码中发现,任然可以在某种情况下绕过,使之失效,调用任何接口,通过该漏洞,我可以绕过鉴权,做到:
调用添加用户接口,添加新用户(POST https://127.0.0.1:8848/nacos/v1/auth/users?username=test&password=test),然后使用新添加的用户登录console,访问、修改、添加数据。
一、漏洞详情
问题主要出现在com.alibaba.nacos.core.auth.AuthFilter#doFilter:

public class AuthFilter implements Filter {
   

    @Autowired
    private AuthConfigs authConfigs;

    @Autowired
    private AuthManager authManager;

    @Autowired
    private ControllerMethodsCache methodsCache;

    private Map<Class<? extends ResourceParser>, ResourceParser> parserInstance = new ConcurrentHashMap<>();

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
            throws IOException, ServletException {
   

        if (!authConfigs.isAuthEnabled()) {
   
            chain.doFilter(request, response);
            return;
        }

        HttpServletRequest req = (HttpServletRequest) request;
        HttpServletResponse resp = (HttpServletResponse) response;

        if (authConfigs.isEnableUserAgentAuthWhite()) {
   
            String userAgent = WebUtils.getUserAgent(req);
            if (StringUtils.startsWith(userAgent, Constants.NACOS_SERVER_HEADER)) {
   
                chain.doFilter(request, response);
                return;
            }
        } else if (StringUtils.isNotBlank(authConfigs.getServerIdentityKey()) && StringUtils
                .isNotBlank(authConfigs.getServerIdentityValue())) {
   
            String serverIdentity = req.getHeader(authConfig
最低0.47元/天 解锁文章
有故事的程序员
关注
专栏目录
Alibaba Nacos 权限认证绕过漏洞
ggboy的博客
05-30 685
可能泄露敏感信息并被攻击者利用造成威胁;攻击者可能直接利用样例的 漏洞进行攻击;核心数据可能被偷取。nacos官方在github发布的issue中披露Alibaba Nacos 存在一个由于不当处理User-Agent导致的未授权访问漏洞 。通过该漏洞,攻击者可以进行任意操作,包括创建新用户并进行登录后操作。 构造payload后访问抓取数据包,将数据包GET改为POST请求进行添加新用户test 登录test用户,可以查看用户信息,存在垂直越权漏洞 查看isuse问题描述找到官方配置
Alibaba Nacos权限认证绕过漏洞复现
千寻的博客
01-25 7844
文章目录漏洞描述影响范围漏洞类型环境搭建第一步 下载第二步 解压tai.zip文件第三步 进入解压后的macos的bin目录第四步 清除windows启动脚本第五步 启动单节点模式漏洞复现第一步 访问“查看用户列表”界面第二步 访问添加用户界面,添加用户第三步 登录testa/testqwe保存添加用户的poc,进行利用修复建议摘抄 漏洞描述 2020年12月29日,Nacos官方在github发布的issue中披露Alibaba Nacos 存在一个由于不当处理User-Agent导致的未授权访问漏洞
漏洞复现 - - - Alibaba Nacos权限认证绕过
weixin_67503304的博客
08-03 5056
Alibaba Nacos权限认证绕过Max HackBar方式进行POST传参,简单易懂,操作方便。
Nacos历史漏洞复现(汇总)
最新发布
qq_55202378的博客
08-18 1940
这个漏洞其实可以说是CVE-2021-29442的更深层次利用,在上文中我们分析了,Derby未授权SQL注入利用的是/derby这个路由,但是限制了语句必须为select开头的即查询语句,而仅仅是查询语句就无法RCE。:nacos带有一个嵌入式的小型数据库derby,而在版本<=1.4.0的默认配置部署nacos的情况下,它无需认证即可被访问,并执行任意sql查询,导致敏感信息泄露。简单来说就是将远程服务器上的jar包导入数据库,就可以动态调用类中的static方法),也就是所谓组合拳RCE。
r0eXpeR#CVE-2020#Nacos Bypass身份验证1
07-25
Nacos Bypass身份验证影响范围:漏洞验证:访问用户列表界面添加新用户查看用户列表任意密码重置:
Nacos惊现安全漏洞修复后问题仍旧存在
热门推荐
一个天秤座的架构师
01-18 2万+
你好,我是threedr3am,我发现nacos最新版本1.4.1对于User-Agent绕过安全漏洞的serverIdentity key-value修复机制,依然存在绕过问题,在nacos开启了serverIdentity的自定义key-value鉴权后,通过特殊的url构造,依然能绕过限制访问任何http接口。 通过查看该功能,需要在application.properties添加配置nacos.core.auth.enable.userAgentAuthWhite:false,才能避免User-A
Alibaba Nacos Authentication Bypass Vulnerability
par@ish的博客
08-25 505
Alibaba Nacos(Dynamic Naming and Configuration Service)是由阿里巴巴公司维护的一款开源项目,易于构建云原生应用的动态服务发现、配置管理和服务管理平台,其提供了一组简单易用的特性集,可以快速实现动态服务发现、服务配置、服务元数据及流量管理。
阿里 Nacos安全漏洞绕过身份验证修复建议
lt_xiaodou的博客
08-27 925
我发现nacos最新版本1.4.1对于User-Agent绕过安全漏洞的serverIdentity key-value修复机制,依然存在绕过问题,在nacos开启了serverIdentity的自定义key-value鉴权后,通过特殊的url构造,依然能绕过限制访问任何http接口。...
NACOS身份认证绕过漏洞批量检测poc.7z
02-24
该“NACOS身份认证绕过漏洞批量检测poc”是一个Proof of Concept(概念验证)文件,用于验证这个安全漏洞是否存在。POC文件通常包含一段代码或者脚本,开发者或安全研究人员可以使用这些代码来测试特定系统是否易受...
Nacos 惊爆安全漏洞,可绕过身份验证修复建议
程序猿DD
01-16 1924
作者 |threedr3am来源 |https://github.com/alibaba/nacos/issues/4701我发现nacos最新版本1.4.1对于User-Agent...
SpringCloudAlibaba Nacos开启鉴权(解决跳过登录页面问题)
2401_84183033的博客
04-10 1612
它作为客户端和服务端交互时用于加密的密钥,可以防止认证过程中的信息泄露。当我学到一定基础,有自己的理解能力的时候,会去阅读一些前辈整理的书籍或者手写的笔记资料,这些笔记详细记载了他们对一些技术点的理解,这些理解是比较独到,可以学到不一样的思路。网安所有方向的技术点做的整理,形成各个领域的知识点汇总,它的用处就在于,你可以按照上面的知识点去找对应的学习资源,保证自己学得较为全面。nacos.core.auth.server.identity.key是 Nacos 中的一个配置,用于身份验证的对称加密密钥。
Alibaba Nacos存在默认弱口令漏洞
nnn2188185的博客
03-18 2392
Nacos阿里巴巴最新开源的项目。 Alibaba Nacos存在弱口令漏洞。攻击者利用默认弱密码登录系统后台,获取敏感信息。
【漏洞复现】Alibaba Nacos 未授权访问漏洞
Nday_Seeker
03-20 1470
Alibaba Nacos中存在未授权访问漏洞,该漏洞源于com.alibaba.nacos.core.auth.AuthFilter#doFilter在处理服务间通信时存在默认鉴权白名单,其代码在解析请求时,会判断User-Agent值,只要是以Constants.NACOS_SERVER_HEADER字符串(Nacos-Server)开头,则跳过后续的任何鉴权。攻击者可利用该漏洞发送特殊数据绕过身份认证,从而调用任何接口,获取内部数据或添加任意用户,进一步利用甚至可能执行恶意代码。
Nacos v2.2运行出错
guyan999的专栏
03-23 7375
【代码】Nacos v2.2运行出错。
nacos安装之后开启鉴权之后重启不来,起来之后报错密码错误,报错处理详细步骤
weixin_45290734的博客
06-02 4710
在这个网址:https://www.sojson.com/base64.html 随便输入一个32位的字符串,点击生成Base64,获取到Ba。这里的地址需要填上你的数据库地址,并创建nacos库,在conf目录下有一个sql文件,导入进去,会创建表和用户,用户密码是加密的。se64 粘贴到nacos.core.auth.plugin.nacos.token.secret.key=开启nacos账号密码登录,首先要修改配置。重启nacos服务,就可以登录了。
Alibaba Nacos权限认证绕过漏洞[CVE-2021-29441]
m0_54323635的博客
08-31 1145
Alibaba Nacos阿里巴巴的一个新开源项目,是一个更易于构建云原生应用的动态服务发现、配置管理和服务管理平台。 该漏洞是Nacos在进行认证授权操作时,会先判断user-agent是否为”Nacos-Server”,如果是的话则不进行任何认证。原意是用来处理一些服务端对服务端的请求。但是由于配置的过于简单,并且将协商好的user-agent设置为Nacos-Server,直接硬编码在了代码里,导致了漏洞的出现。
nacos2.x 集群启动报错问题
段子手168的博客
03-26 1195
nacos2.x 集群启动报错问题,nocos 堆内存问题,堆内存溢出,
nacos身份认证绕过漏洞批量检测poc
06-23
攻击者可以利用该漏洞绕过Nacos身份验证,实现未经授权访问敏感信息或执行恶意操作。为了增强安全性,开发人员需要尽快修补漏洞。 为方便安全研究人员和开发人员识别漏洞,可以使用批量检测pocpoc是Proof of ...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值