速报:Nacos最新0day漏洞的临时修补方案

已于 2024-07-22 20:01:20 修改
阅读量600 收藏
点赞数 1
文章标签: 网络 安全 web安全
于 2024-07-15 19:11:06 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_71692682/article/details/140454681
版权

0cc7aa562e12be92a1b9815d8c64b005.png

 Part1 前言 

大家好,我是ABC_123。今天下午github上有网友公布了最新的nacos远程代码执行漏洞及exp,目前官方补丁还没出来,这里ABC_123给大家提供一个临时的漏洞修补方案。

 Part2 技术研究过程 

首先这个nacos的0day漏洞是真实存在的,危害是很严重的,再者这是一个登录后台才能利用的漏洞,而且出网才能利用。有网友会说,有的nacos不需要登录后台也能打,那是因为所打的nacos存在之前的匿名访问漏洞、或者鉴权漏洞。

a2f57baf41dc0e03c19543bc8b514b3c.png

这里给出一个临时的修补漏洞的方法:

 1   升级nacos到最新版本(原因:杜绝nacos前期出现的几个未授权访问漏洞)。

 2   禁止nacos的匿名访问,开启鉴权

 3   nacos的口令设置得足够复杂(原因:杜绝弱口令,这个nacos的0day漏洞是需要登录后台才能利用)。

以上三条措施做好了,就可以解决修复该漏洞。

c22bcf6561be89218e834e26dac85ba4.png

公众号专注于网络安全技术,包括安全咨询、APT事件分析、红队攻防、蓝队分析、渗透测试、代码审计等,99%原创,敬请关注。

Contact me: 0day123abc#gmail.com

(replace # with @)

希潭实验室
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
Nacos 身份认证绕过漏洞(QVD-2023-6271)
feelxing的专栏
03-31 5542
Nacos 身份认证绕过漏洞(QVD-2023-6271),nacos版本从1.4.1升级到2.2.1最新版本
annuaire-entreprises.data.gouv.fr:年鉴,基里内共和国信息速报:企业的唐纳德
02-16
annuaire-entreprises.data.gouv.fr : 在企业,协会和行政管理部门中,由企业,组织和管理人员组织的一种“开放数据”。 佛得角建筑学院 Ce网站利用Next.js进行了修改: 在开发过程中,next.js可以进行常规操作。...
重磅新闻!!!Blitz团队新挖到了一个0DAY漏洞!!!大家一起来玩漏洞复现吧!
最新发布
Blitz_Oddessuse的博客
07-26 255
0DAY!!!0DAY!!!!0DAY 漏洞复现
0-day预警-NACOS RCE-0day漏洞复现
Success696的博客
07-15 2163
配置config.py中的ip和端口,执行service.py。fofa语法: icon_hash=“13942501”ZoomEye语句:app:“Alibaba Nacos”执行exploit.py,输入地址和命令即可执行。下载nacos版本,项目地址。
Nacos最新0day漏洞复现
qq_55213436的博客
07-16 3353
漏洞的核心在于 Nacos 的某些接口没有严格的权限控制,攻击者可以通过特制的请求向 Nacos 服务器发送恶意数据,从而执行任意代码。下载nacos代码搭建环境这次漏洞 需要登录到后才才能利用漏洞涉及到 Nacos 在处理反序列化数据时的缺陷,攻击者能够通过特定的 JSON 数据结构,远程执行恶意代码。以利用该漏洞读取敏感文件、执行系统命令。
修复nacos漏洞问题SQL注入CNVD-2020-67618、未授权访问CVE-2021-29441等
kaopuzong的博客
02-06 2176
修复nacos漏洞问题:漏洞1:SQL注入CNVD-2020-67618 漏洞2:未授权访问CVE-2021-29441 漏洞3:token.secret.key默认配置QVD-2023-6271 漏洞4:Jraft Hessian反序列化CNVD-2023-45001
Nacos漏洞总结复现
heike_Ch的博客
04-23 1258
Nacos中发现影响Nacos <= 2.1.0的问题,Nacos用户使用默认JWT密钥导致未授权访问漏洞。通过该漏洞,攻击者可以绕过用户名密码认证,直接登录Nacos用户。
2021年中国梨产业速报.pdf
03-22
2021年中国梨产业速报
物联网地质环境信息化综合解决方案.pdf
10-14
《物联网地质环境信息化综合解决方案》概述 物联网技术在地质环境信息化领域的应用日益广泛,通过集成化的解决方案,可以高效地管理地质灾害,提升行业的信息化水平。本文将深入探讨四个关键的地质环境信息化管理...
个推案例-地震速报
07-11
【个推推送解决方案】 个推是一家提供专业推送服务的公司,其推送解决方案具有多项显著优点,包括高安全性、高可靠性、低成本、易于集成以及实时到达等特性。这些特性使得个推的服务在众多行业中都能得到广泛应用,...
0day nacos RCE命令执行漏洞复现含POC
weixin_43167326的博客
07-16 4452
NACOS是 一个开源的服务发现、配置管理和服务治理平台,属于阿里巴巴的一款开源产品。
Nacos提权漏洞修复
zzz6583zz的博客
05-16 404
Nacos 提供了一组简单易用的特性集,帮助您快速实现动态服务发现、服务配置、服务元数据及流量管理。若您Nacos未修改secret.key,则攻击者可利用默认secret.key生成JWT Token,从而造成权限绕过访问到相关API接口。Nacos 官方于 2023年3月2日发布 2.2.0.1版本。
nacos漏洞汇总
潇逗
06-27 1640
Alibaba Nacos是阿里巴巴推出来的一个新开源项目,是一个更易于构建云原生应用的动态服务发现、配置管理和服务管理平台。致力于帮助发现、配置和管理微服务。Nacos提供了一组简单易用的特性集,可以快速实现动态服务发现、服务配置、服务元数据及流量管理。指纹:app=“nacos”默认密码nacos nacos
Nacos 漏洞利用
huangyongkang666的博客
01-03 7781
在src挖掘中碰到的漏洞,于是了解了一下该漏洞漏洞的利用方式
Nacos漏洞修复】Nacos未授权访问漏洞(CVE-2021-29441)
m0_52985087的博客
03-20 6035
但是由于配置的过于简单,并且将协商好的user-agent设置为Nacos-Server,直接硬编码在了代码里,导致了漏洞的出现。命令:curl -X GET 'http://localhost:8848/nacos/v1/auth/users?命令:curl -X GET 'http://localhost:8848/nacos/v1/auth/users?命令:curl -X GET 'http://localhost:8848/nacos/v1/console/server/state'
重大0day漏洞预警:Nacos 漏洞触发远程代码执行
weixin_55163056的博客
07-22 1258
Nacos中新发现的0day漏洞可以触发远程代码执行,开源网安RASP团队检测并分析出三种类型的攻击:不安全的反射漏洞、SQL注入攻击、命令注入
nacos未授权访问漏洞 修复
07-15
对于Nacos的未授权访问漏洞,建议你采取以下措施进行修复: 1. 更新到最新版本:确保你使用的Nacos版本是最新的,因为最新版本通常包含了安全修复和漏洞修复。 2. 配置访问控制:通过配置适当的访问控制策略,限制只有授权的用户或者IP可以访问Nacos。可以使用Nacos的权限管理功能来实现。 3. 强化认证和授权:启用强密码策略,使用复杂的密码,并定期更换密码。确保只有授权用户具有适当的权限来访问和管理Nacos。 4. 防火墙设置:配置防火墙来限制对Nacos的访问,只允许来自可信源IP地址的请求。 5. 安全审计日志:启用安全审计日志功能,记录所有关键操作和访问日志。这有助于发现异常行为和及时应对潜在的安全威胁。 6. 定期备份:定期备份Nacos的数据,以防止数据丢失或损坏。备份可以帮助你在遭受攻击或数据丢失时快速恢复。 7. 安全漏洞扫描和测试:与安全团队合作,进行定期的安全漏洞扫描和安全测试,以发现并修复潜在的安全问题。 8. 及时响应:如果你发现任何安全问题或漏洞,应立即采取措施进行修复和调查。可以向Nacos官方团队报告漏洞,并升级到已修复漏洞的版本。 请记住,安全是一个持续的过程,需要不断地关注和改进。通过以上措施,你可以提高Nacos安全性,并减少未授权访问漏洞的风险。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

希潭实验室

您的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值