【漏洞通报】Nacos漏洞
漏洞情况
近期,火山信安实验室监测到Nacos服务中存在一项严重的安全漏洞,该漏洞主要影响使用Derby数据库作为内置数据源的配置。在Nacos的standalone模式下,为了简化部署并减少资源占用,系统默认采用Derby这一轻量级嵌入式数据库。然而,这一配置使得Nacos暴露于潜在的安全风险之中。
0x01漏洞简介
具体而言,受影响的Nacos版本在/data/removal接口上存在条件竞争漏洞,该接口原设计用于运维人员进行数据运维和问题排查。然而,由于安全机制的不完善,攻击者可以利用该接口执行恶意SQL语句,进而实施SQL注入攻击。一旦成功,攻击者能够加载恶意jar文件并在Derby数据库中注册自定义函数。利用CVE-2021-29442这一Derby SQL注入漏洞,攻击者可以在未授权的情况下调用这些恶意函数,执行任意代码,对系统安全构成严重威胁。值得注意的是,在问题被曝光之前,官方开发者曾将此行为视为功能特性而未加处理,这进一步加剧了漏洞的潜在危害。
0x02影响版本
该漏洞影响Nacos及其配置组件com.alibaba.nacos:nacos-config的所有版本,直至2.4.0(不包含2.4.0)。具体而言,所有低于2.4.0版本的Nacos实例,在采用Derby数据库作为内置数据源并启用相关运维接口时,均面临此漏洞的威胁。
0x03修复建议
为了防范此漏洞带来的安全风险,强烈建议用户采取以下修复措施:
立即升级Nacos:将Nacos组件升级至2.4.0或更高版本。新版本通过引入derbyOpsEnabled选项并默认关闭相关接口,有效防止了恶意利用。
审查并加固配置:检查并更新Nacos的配置文件,确保关闭了不必要的运维接口,尤其是与数据删除和修改相关的接口。
加强访问控制:实施严格的访问控制策略,确保只有授权用户能够访问Nacos的管理界面和API接口。
定期安全审计:定期对系统进行安全审计和漏洞扫描,及时发现并修复潜在的安全隐患。
关注官方安全公告:持续关注Nacos官方发布的安全公告和更新信息,以便及时了解并应对新出现的安全威胁。