Nacos身份认证绕过漏洞安全风险通告

文章前言

今天早上起来后看到"奇安信CERT"发了一篇"【已复现】Nacos 身份认证绕过漏洞安全风险通告"的文章，点开之后看了一下漏洞描述以及复现载荷，发现这个和22年11月的时候一起与曜总(@甲壳虫)一起测试Nacos历史漏洞时发现的新的漏洞一致，不过我们当时赋予的名字并非这个，而是另一个更加直接的(很多人只要一看就知道是啥的那种)，这里仅做一个简单的介绍，当然exp就不给出了，有兴趣的可以自己搭建一个环境试试，很简单

影响范围

Nacos 0.1.0 ~2.2.0

利用条件

用户部署的Nacos未修改默认的 token.secret.key

漏洞等级

中等偏上(外网很少，内网居多+无需任何认证直接调用接口操作)

漏洞成因

Nacos搭建时使用默认的token.secret.key属性

环境搭建

下载安装文件：

https://github.com/alibaba/nacos

之后执行以下命令启动环境

./startup.sh -m standalone

之后访问http://your-ip:8848/nacos，默认账号密码为：nacos/nacos

漏洞复现

Step 1：获取用户名(可用历史漏洞也可以自我进行猜解)

Step 2：发送一下请求数据包重置密码

Step 3：登录

修复建议

1、应用切换内网

2、更新到最新版本： https://github.com/alibaba/nacos/releases/tag/2.2.0.1

3、更改application.properties文件中token.secret.key默认值具体更改方法可参考：https://nacos.io/zh-cn/docs/v2/guide/user/auth.html