由于Nacos <= 2.4.0 BETA 存在 Derby 远程命令执行漏洞,恶意攻击者利用此漏洞可以未授权执行SQL语句,最终导致任意代码执行。目前该漏洞PoC和技术细节已在互联网上公开。
一、漏洞情况分析
Nacos 是一个功能强大的服务注册与发现、配置管理平台,为微服务架构和云原生应用提供了重要的基础设施支持。
由于Alibaba Nacos部分版本中derby数据库默认可以未授权访问,恶意攻击者利用此漏洞可以未授权执行SQL语句,最终导致任意代码执行。该漏洞利用存在如下条件:
1、Nacos未开启身份认证。
2、Nacos使用derby内置数据库。
二、漏洞影响范围
Nacos <= 2.4.0 BETA
三、漏洞处置建议
3.1 官方修复方案
官方已经在最新代码中通过默认禁用derby接口的方式对本漏洞进行了修复,但还未合并到发行版本,修复代码如下所示:
Close derby ops api default. (#12372) · alibaba/nacos@ed7bd03 · GitHub
3.2 临时修复方案
1、在不影响业务的情况下,使用MySQL等外置数据库。
2、配置Nacos开启身份认证,设置强密码。详细操作过程可参考官方手册:++权限校验 | Nacos 官网++
3、使用iptables、安全组等方式,限制访问Nacos端口的源IP。