留后门？Nacos被爆存在严重的旁路身份验证安全漏洞！

ゞ浴缸里的玫瑰 2023-01-08 02:27 431阅读 0赞

2021 年 1 月 15 日，也就是昨天，Nacos 发布了新版本 1.4.1。该版本发布了很多新特性和增强的功能。

![format_png][]![format_png 1][]

这次发布的新版本，可谓是改动众多，大大小小有几十个 issue。

此次发布之前，被网友发现的绕过 User-Agent 中的安全漏洞在这个版本中也已经被修复了！`https://github.com/alibaba/nacos/issues/4701` 中所被提到的旁路身份验证（身份）问题影响范围很广！

在之前的版本中，如果在 Nacos 中启用了 serverIdentity 的自定义键值认证。那么就可以通过特殊的 url 结构，仍然可以绕过访问任何 http 接口的限制。

下面给大家说一下漏洞的重现步骤。

第一步，先访问用户列表界面。

curl XGET 'http://127.0.0.1:8848/nacos/v1/auth/users/?pageNo=1&pageSize=9 --path-as-is'

在没有登录的正常情况下，该接口应该返回 403。

![format_png 2][]

但实际上，我们给该请求添加上特殊的 header 后，却可以绕过认证，并且返回用户列表数据。

{
        "totalCount": 1,
        "pageNumber": 1,
        "pagesAvailable": 1,
        "pageItems": [
            {
                "username": "nacos",
                "password": "$2a$10$EuWPZHzz32dJN7jexM34MOeYirDdFAZm2kuWj7VEOJhhZkDrxfvUu"
            }
        ]
    }

不仅能绕过认证，我们还能添加新用户。

curl -XPOST 'http://127.0.0.1:8848/nacos/v1/auth/users/?username=test&password=test --path-as-is'

通过 postman 执行后，我们成功的收到了 `create user ok!` 响应。

{
        "code":200,
        "message":"create user ok!",
        "data":null
    }

如果你再获取用户列表，就可以获取到刚才新增的用户信息。

根据刚才新增的用户信息，我们就可以成功的登录到 Nacos 的后台管理系统中。执行任何操作。

问题产生的原因是，开发人员的逻辑出现了漏洞，考虑不全。

在 AuthFilter 中，应该被拦截返回的 url 被放行了。

目前该漏洞的解决办法有两个，一个是升级到最新的版本 1.4.1。或者开启鉴权认证，并且关闭原有的 UA 白名单机制。

nacos.core.auth.enabled=true
    nacos.core.auth.enable.userAgentAuthWhite=false
    nacos.core.auth.server.identity=aaa
    nacos.core.auth.server.identity.value=bbb

另外，在使用微服务时，除了网关，其他的端口一律不能对外暴露！

截止目前，Nacos 已被众多网友骂惨了。

![format_png 3][]

甚至两之前的 fastjson 也不放过。

[Fastjson 作者，公开发文，我心里永远的痛！][Fastjson]

[阿里巴巴 fastjson 又双叒叕出漏洞了！][fastjson]

[为什么 FastJson 火不起来，国外人都不使用？][FastJson]

[坑爹fastjson又成黑洞！这次危害可导致服务瘫痪！][fastjson 1]

![format_png 4][]

对此，你们怎么看，欢迎留言点赞说出你的感想！

![format_png 5][]

[format_png]: https://imgconvert.csdnimg.cn/aHR0cHM6Ly9tbWJpei5xcGljLmNuL21tYml6X3BuZy9UTEgzQ2ljUFZpYnJlSHE1MDNJZzJacTJ6ZXljaWNQVmVZUnNhcFF3Z0NqcmlhRFVOaWNpYmV6Um12ZFMyZFpvOUUySDVKWnl5ektiQ0JkM1lmc3FUVUFoM0FBdy82NDA?x-oss-process=image/format,png
[format_png 1]: /images/20221119/0601b6728ecb4443baab3adf7d043dfc.png
[format_png 2]: /images/20221119/3afb68a39d084aa1a532985fd98487d6.png
[format_png 3]: /images/20221119/fc02e2b971ab4afdb8ef0d52231c7700.png
[Fastjson]: http://mp.weixin.qq.com/s?__biz=MzIyODE5NjUwNQ%3D%3D&chksm=f38772e4c4f0fbf2634d03bf0cae696cc727abac11a8ab9c5e82d6a07c44f6b3271200819ea7&idx=1&mid=2653322002&scene=21&sn=ebb5dfc66693134825ce8753433bad47#wechat_redirect
[fastjson]: http://mp.weixin.qq.com/s?__biz=MzIyODE5NjUwNQ%3D%3D&chksm=f3877db1c4f0f4a7fb4de3896e78e6040575b539cdf8c0b8006913f4711c31742ea5913a64a9&idx=1&mid=2653320263&scene=21&sn=1ae7323c24d3a8ac70f0bffec4669a94#wechat_redirect
[FastJson]: http://mp.weixin.qq.com/s?__biz=MzIyODE5NjUwNQ%3D%3D&chksm=f3877bb4c4f0f2a2a3beba733b222d01df2c62be0ec8202c106b8dfb2d338bd93594a1af1b14&idx=2&mid=2653319746&scene=21&sn=643425529db2b38b6e27a3bf03a41187#wechat_redirect
[fastjson 1]: http://mp.weixin.qq.com/s?__biz=MzIyODE5NjUwNQ%3D%3D&chksm=f3876464c4f0ed727c7c1ae47b803703e8c9bc54a011112099091c646413a64820cb7cd51735&idx=1&mid=2653318546&scene=21&sn=c53535353f3cfe8e27a36fd6c2e0ea22#wechat_redirect
[format_png 4]: /images/20221119/a52dfc6b4f8b48f38d1613ad3b83901e.png
[format_png 5]: /images/20221119/ea212a594d09427c984a7fc68ff78488.png