Nacos远程代码执行漏洞风险通告

主要观点总结

本文介绍了关于Nacos云原生应用平台的漏洞概述，漏洞影响范围，漏洞修复方法，声明以及参考信息。Nacos是一个动态服务发现、配置管理和服务管理平台，近期出现了与Nacos 0day相关的漏洞信息。漏洞影响范围包括Nacos的某些版本，漏洞修复方法包括官方修复方法、人工缓解方法以及使用安天安全产品的加强检测防御能力。文章还包含了关于安天睿甲主机安全检测响应系统、安天镇关下一代WEB应用防护系统和安天探海威胁检测系统的相关信息。

关键观点总结

关键观点1: Nacos云原生应用平台存在漏洞

近期安天攻防实验室监测到了Nacos 0day相关信息，对此进行了跟进分析。

关键观点2: 漏洞影响范围

Nacos < = v2.4.0 BETA, < = v2.3.2 的版本均受影响。

关键观点3: 漏洞修复方法

目前官方尚未发布补丁，建议使用Nacos的用户排查自身使用的软件版本，并采取开启鉴权、设置强密码等人工缓解方法进行防护。

关键观点4: 安天安全产品加强检测防御能力

安天发布了针对该漏洞的安全产品升级包，具备该漏洞的检测与防御能力。

文章预览

点击上方"蓝字" 关注我们吧！ 0 1 漏洞概述 Nacos是一个更易于构建云原生应用的动态服务发现、配置管理和服务管理平台，支持多种开箱即用的以服务为中心的架构特性，无缝支持Kubernetes和Spring Cloud，具备企业级SLA的开源产品。近期安天攻防实验室监测到了Nacos 0day相关信息，对此“0day”漏洞进行跟进分析。 0 2 漏洞影响范围 名称 版本号 Nacos < = v2.4.0 BETA, < = v2.3.2 截止2024.7.16，最新测试版本2.4.0、最新稳定版本2.3.2均受影响 根据Nacos官方文档，2.2.2版本之前的Nacos默认控制台，无论服务端是否开启鉴权，都会存在一个登录页； 这导致很多用户被误导认为Nacos默认是存在鉴权的。 Nacos从2.2.2版本开始，在未开启鉴权时，默认控制台不需要登录即可访问。 经测2.2.2之前的2.2.1版本默认配置虽存在登录页，但问题接口仍暴漏在外，仍可成功利用漏洞。 03 漏洞 ………………………………