V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
PureWhiteWu
V2EX  ›  信息安全

nacos 出现严重安全漏洞,特殊 UA 可以绕过所有鉴权,有用了的小伙伴注意了……

  •  7
     
  •   PureWhiteWu · 2021-01-14 12:57:17 +08:00 · 16421 次点击
    这是一个创建于 1410 天前的主题,其中的信息可能已经有所发展或是发生改变。

    参考: https://github.com/alibaba/nacos/issues/4593

    只要指定一个特殊的 UA 就可以绕过所有鉴权。

    官方不推荐这种用法,所以没有文档,建议大家别这么用。

    93 条回复    2022-03-30 23:11:26 +08:00
    Kirsk
        1
    Kirsk  
       2021-01-14 13:12:25 +08:00 via Android   ❤️ 2
    无脑拒绝阿里就没问题了
    wellsc
        2
    wellsc  
       2021-01-14 13:13:50 +08:00
    kpi 产物
    EasyProgramming
        3
    EasyProgramming  
       2021-01-14 13:14:00 +08:00
    确实离谱
    LokiSharp
        4
    LokiSharp  
       2021-01-14 13:21:27 +08:00   ❤️ 4
    这不是漏洞,这是自家的后门,是特性
    putaozhenhaochi
        5
    putaozhenhaochi  
       2021-01-14 13:23:05 +08:00 via Android
    话说 Nacos 阿里自己用吗
    mlhadoop
        6
    mlhadoop  
       2021-01-14 13:23:17 +08:00
    https://github.com/alibaba/nacos/issues/273, 这些公司是不是要赶紧救火了?
    oxromantic
        7
    oxromantic  
       2021-01-14 13:30:13 +08:00   ❤️ 3
    离谱到在指出这个问题时(在项目里 hardcode 一个不是强制修改且不可修改 token),开发还依然自以为是否定安全风险,安全经验少得可怜
    telung
        8
    telung  
       2021-01-14 13:32:34 +08:00
    牛逼
    hand515
        9
    hand515  
       2021-01-14 13:51:59 +08:00   ❤️ 2
    haosamax
        10
    haosamax  
       2021-01-14 14:06:37 +08:00
    nacos 用的多吗,
    6IbA2bj5ip3tK49j
        11
    6IbA2bj5ip3tK49j  
       2021-01-14 14:15:28 +08:00   ❤️ 4
    前面那个 KomachiSion 简直离谱。
    janxin
        12
    janxin  
       2021-01-14 14:19:12 +08:00
    这是 feature
    MeteorCat
        13
    MeteorCat  
       2021-01-14 14:22:38 +08:00 via Android
    直到出事了才知道肯承认是漏洞,真有你的
    xiangyuecn
        14
    xiangyuecn  
       2021-01-14 14:25:23 +08:00
    @xgfan #11 是不是也是看了想打人😂
    vone
        15
    vone  
       2021-01-14 14:26:26 +08:00
    KomachiSion 是阿里的人吗,嘴硬的离谱 /doge 。
    lewis89
        16
    lewis89  
       2021-01-14 14:27:26 +08:00   ❤️ 2
    0202 年了 还有人用阿里的开源? 谁用谁 SB
    lewis89
        17
    lewis89  
       2021-01-14 14:31:09 +08:00
    另外微服务 只有傻逼才会开端口 把中间件的端口 暴露到公网上去
    Sum0l
        18
    Sum0l  
       2021-01-14 14:34:49 +08:00
    Sum0l
        19
    Sum0l  
       2021-01-14 14:35:39 +08:00
    已经修复了,自定义 user-agaent..
    guisheng
        20
    guisheng  
       2021-01-14 14:37:13 +08:00   ❤️ 1
    「本来就不是给用户用的而是自己内部使用的机制,在使用文档上说明不妥。用户不知道才是正确的。」
    fibbery
        21
    fibbery  
       2021-01-14 14:43:19 +08:00
    不过这玩意不都不暴露公网的吗,有这个必要吗?
    imn1
        22
    imn1  
       2021-01-14 14:46:01 +08:00
    凡是“特殊”、“指定”才出现的,我基本认为是后门,因为这个是只能依靠“良心”计量的行为,🐶
    iceneet
        23
    iceneet  
       2021-01-14 14:48:42 +08:00   ❤️ 1
    这是"feature"
    maskerTUI
        24
    maskerTUI  
       2021-01-14 14:58:13 +08:00
    这后门简直离谱
    worldtongfb
        25
    worldtongfb  
       2021-01-14 15:04:10 +08:00
    真的有人把 nacos 暴露到公网出去么?是想随时随地用手机改配置啊
    dbpe
        26
    dbpe  
       2021-01-14 15:08:10 +08:00
    这是 feature+1
    privil
        27
    privil  
       2021-01-14 15:18:49 +08:00
    @worldtongfb #25 真的有。我擦,我醉了。
    xuanbg
        28
    xuanbg  
       2021-01-14 15:24:01 +08:00
    @lewis89 张嘴轻飘飘说一句不该暴露在外网很轻松,但不解决任何问题。

    nacos 是有配置管理功能的,被暴露在外网是很危险的。我实在是没搞明白为啥要旁路鉴权。。。
    expkzb
        29
    expkzb  
       2021-01-14 15:24:59 +08:00
    乍一看以为是 macOS 打错字了,没想到是阿里的瓜
    nazor
        30
    nazor  
       2021-01-14 15:25:34 +08:00
    被之前的 fastjson 漏洞搞怕了,对待阿里的开源项目还是慎重吧。
    xuanbg
        31
    xuanbg  
       2021-01-14 15:25:44 +08:00
    过滤器里面直接把那几个不需要鉴权的接口放白名单不好吗?
    murmur
        32
    murmur  
       2021-01-14 15:25:53 +08:00
    @worldtongfb 看了下 github 的交流记录,有人扫出了几十个暴露的,配合另外一个远程执行漏洞,好家伙
    PureWhiteWu
        33
    PureWhiteWu  
    OP
       2021-01-14 15:27:56 +08:00
    本来就不是给用户用的而是自己内部使用的机制,在使用文档上说明不妥。用户不知道才是正确的。
    swulling
        34
    swulling  
       2021-01-14 15:29:54 +08:00 via iPhone   ❤️ 17
    亲爱的黑客朋友们,如果你看到 Nacos 的这个安全漏洞,请不要惊慌。 这个漏洞纯属误报,只用于服务端之间使用,就是不推荐用户直接使用,因此不会在文档进行描述。请诸位黑客朋友遵守使用文档不要直接使用该漏洞哈。

    另外我们已经拒绝了所有修复建议并标记 wantfix 。
    Aresxue
        35
    Aresxue  
       2021-01-14 15:30:52 +08:00
    正在用你敢信
    AA5DE3F034ACCB9E
        36
    AA5DE3F034ACCB9E  
       2021-01-14 15:33:21 +08:00
    问题是态度还不行,没有为用户服务的心态,就想着自己的业务场景
    zengming00
        37
    zengming00  
       2021-01-14 16:24:07 +08:00
    真是荒唐可笑,有人记得 antd 的彩蛋事件吗?
    xeathen
        38
    xeathen  
       2021-01-14 16:41:15 +08:00
    这个 komachi 嘴比铁还硬,还是 Apache Software Foundation 成员呢
    rapperx2
        39
    rapperx2  
       2021-01-14 16:46:38 +08:00
    +1
    wsw
        40
    wsw  
       2021-01-14 16:50:23 +08:00   ❤️ 1
    笑死我了
    GM
        41
    GM  
       2021-01-14 16:50:55 +08:00
    @PureWhiteWu
    用户不知道,但是想搞坏事的坏人知道,简直是完美的后门。
    Lax
        42
    Lax  
       2021-01-14 16:58:27 +08:00
    以前有个关于开源软件和闭源软件谁更安全的话题,一般认为在“代码功力一样的情况下,闭源软件比开源软件多个后门的可能性”。这下可好,开源软件也一样。到底是什么原因呢?
    YAR
        43
    YAR  
       2021-01-14 17:02:47 +08:00
    刚在生产环境搭完 nacos, 进来就看到这个......
    olaloong
        44
    olaloong  
       2021-01-14 17:17:51 +08:00   ❤️ 3
    随便拿钟馗之眼搜了台机器就试验成功了...这个漏洞真的太强了,之前把 nacos 账户密码改掉,要啥有啥
    PureWhiteWu
        45
    PureWhiteWu  
    OP
       2021-01-14 17:57:43 +08:00
    @YAR 哈哈哈哈哈哈,我不该发
    baobao1270
        46
    baobao1270  
       2021-01-14 17:58:25 +08:00
    虽然说开源项目有免责条款
    不过要是捅到网安部门就够各大企业喝一壶了吧
    PureWhiteWu
        47
    PureWhiteWu  
    OP
       2021-01-14 18:01:04 +08:00
    @baobao1270 不至于,网安才不会管这些事吧
    baobao1270
        48
    baobao1270  
       2021-01-14 18:05:28 +08:00
    @PureWhiteWu 不太清楚,但是之前不是什么护网吗,如果关键系统有漏洞还是会管的吧
    zifangsky
        49
    zifangsky  
       2021-01-14 18:09:09 +08:00   ❤️ 2
    好家伙,这两个漏洞一组合使用,黑客朋友第一时间就表示「阿里简直太贴心了」,顺便还给这个 feature 点个赞
    Visitor233
        50
    Visitor233  
       2021-01-14 18:43:35 +08:00
    好家伙,本来用的好好的,居然被人捅出来了,黑帽子直接退出群聊
    PureWhiteWu
        51
    PureWhiteWu  
    OP
       2021-01-14 19:46:15 +08:00
    @Visitor233 都怪你们 23333
    KuroNekoFan
        52
    KuroNekoFan  
       2021-01-14 20:51:27 +08:00 via iPhone
    回复有点开眼界了……
    scukmh
        53
    scukmh  
       2021-01-14 21:14:11 +08:00
    都怪你们,用的好好地,捅出来干啥。(跑
    cs419
        54
    cs419  
       2021-01-14 21:33:45 +08:00
    后门留的理直气壮
    实在让人呸服
    Cat73
        55
    Cat73  
       2021-01-14 22:21:54 +08:00   ❤️ 1
    https://user-images.githubusercontent.com/9296576/104602646-97750f80-56b6-11eb-8ee8-7f030211f98b.png

    配合知道创宇端口扫描效果极佳,果然无聊的人不止我一个,在我眼皮子底下这台服务器就中招了,多了个用户

    知道创宇总共搜出来了 800 多台 Nacos 服务器,提前默哀
    zhleonix
        56
    zhleonix  
       2021-01-14 22:31:14 +08:00
    能这样设计的都不是正常人
    x66
        57
    x66  
       2021-01-14 22:34:29 +08:00
    好家伙,这个 issue 已经提出来半个月了,回复有点让我大吃一惊,建议以后阿里面试少问点什么原理,多问点安全相关的常识。
    一句不应该把服务暴露到公网就完事了,那我想问下 nacos 为啥默认需要登陆呢?
    Jooooooooo
        58
    Jooooooooo  
       2021-01-14 22:38:13 +08:00
    一个后门是 feature

    笑掉大牙
    hyqCrystal
        59
    hyqCrystal  
       2021-01-14 23:11:17 +08:00
    本来就不是给用户用的而是自己内部使用的机制,在使用文档上说明不妥。用户不知道才是正确的。
    waising
        60
    waising  
       2021-01-14 23:26:09 +08:00
    楼上的回复看了一遍,不知道是真的没有用,还是真的不好用,那么大家都在用什么做注册中心和配置中心的
    nosilence
        61
    nosilence  
       2021-01-15 00:03:11 +08:00
    @hyqCrystal #59 那性质就变成了特意留的后门
    so1n
        62
    so1n  
       2021-01-15 01:25:02 +08:00 via Android
    这个漏洞就算放在内网,有些员工也可以通过这个方法脱裤,很多小公司都是没审计的
    azh7138m
        63
    azh7138m  
       2021-01-15 01:40:52 +08:00
    看上去客户第一是不能得分了,希望能有人监督一下()
    azh7138m
        64
    azh7138m  
       2021-01-15 01:46:33 +08:00
    > I'm not sure whether the timing attack is send a long string to hold equals resource.

    https://github.com/alibaba/nacos/pull/4683/files#r557138940

    当场笑死
    sampeng
        65
    sampeng  
       2021-01-15 06:48:29 +08:00 via iPhone
    我就拿他说的要服务间鉴权。看看别的产品怎么做的…他喵的另起一个端口啊。并且文档明确告知 a 端口对外,b 端口对内。
    还嘴硬,不是说阿里内部大量使用么。内部员工脱个库玩玩
    mmdsun
        66
    mmdsun  
       2021-01-15 07:42:05 +08:00 via Android
    阿里出品必属于()
    tabris17
        67
    tabris17  
       2021-01-15 09:04:21 +08:00 via iPhone
    @mmdsun 必属禁品
    ily433664
        68
    ily433664  
       2021-01-15 09:12:52 +08:00
    “本来就不是给用户用的而是自己内部使用的机制,在使用文档上说明不妥。用户不知道才是正确的。”
    真是有够搞笑的
    90d0n
        69
    90d0n  
       2021-01-15 09:26:25 +08:00   ❤️ 4
    更有意思的是, 修复漏洞的 1.4.1 版本又出现了新的安全漏洞...
    https://github.com/alibaba/nacos/issues/4701
    cutlove
        70
    cutlove  
       2021-01-15 09:34:55 +08:00
    无内鬼,来点阿里笑话
    zpf124
        71
    zpf124  
       2021-01-15 09:40:36 +08:00
    @ily433664 "本来就不是给用户用的而是自己内部用来偷偷看看其他用户到底弄了些啥,在文档上说了的话你们就都给关了,我们还看啥。用户不知道才是正确的。"
    vipppppp
        72
    vipppppp  
       2021-01-15 09:43:05 +08:00
    试了一下,还真的是,阿里牛逼,还好我们的是内网的。。。
    还有 naocs 的维护者的回复是真的牛皮
    wisdom
        73
    wisdom  
       2021-01-15 09:44:35 +08:00
    阿里开源真不敢用,一会儿爆一个 rec 。
    Yelp
        74
    Yelp  
       2021-01-15 09:45:38 +08:00
    没办法的是,自家公司也会遇到,有些是真杠,有些是假杠
    chemzqm
        75
    chemzqm  
       2021-01-15 10:55:26 +08:00
    > 用户不知道才是正确的。


    我只能说阿里真是人才辈出。你搞个黑盒完事了,还开源干嘛
    slyang5
        76
    slyang5  
       2021-01-15 11:00:00 +08:00
    这东西 暴露给公网干啥? 感觉没什么问题吧
    JohnSmith
        77
    JohnSmith  
       2021-01-15 11:11:53 +08:00
    @slyang5 #76 没办法假设使用行为
    AstroProfundis
        78
    AstroProfundis  
       2021-01-15 11:12:11 +08:00
    完全不熟悉开源社区的人来强行开源是这样的,要习惯 (doge)
    Roojay
        79
    Roojay  
       2021-01-15 11:22:41 +08:00
    看了下 这个是被玩坏了😅
    zhongjun96
        80
    zhongjun96  
       2021-01-15 11:27:05 +08:00
    @Roojay #79 好奇怪啊,我试了一下本地的和线上的,都不用加 ua,直接请求就能拿到
    ![UTOOLS_1610681207782.png]( https://i.loli.net/2021/01/15/ci6QyeIC5JkGsHE.png)
    Roojay
        81
    Roojay  
       2021-01-15 11:31:53 +08:00
    @zhongjun96 #80 难道我被楼上钓鱼了🤡
    Jrue0011
        82
    Jrue0011  
       2021-01-15 11:38:07 +08:00
    @waising zookeeper cosul etcd,还有楼上说的携程的 apollo,甚至现在可能已经过时的 eureka,还是挺多的
    不过我在小公司没搞过微服务所以都没用过,不评价哪个好。。。
    PureWhiteWu
        83
    PureWhiteWu  
    OP
       2021-01-15 12:11:48 +08:00
    @AstroProfundis 这已经和开源无关了吧……这种东西扔内网都过不了安全审计吧。。。
    AstroProfundis
        84
    AstroProfundis  
       2021-01-15 12:16:40 +08:00
    @PureWhiteWu 我是说项目维护者对待这个漏洞报告的态度,至于漏洞本身能不能过审计是另外一个话题(
    chairuosen
        85
    chairuosen  
       2021-01-15 12:21:53 +08:00
    只能说业余,服务器互相调用就可以不鉴权了?
    GPLer
        86
    GPLer  
       2021-01-15 12:27:22 +08:00
    @Lax 不是开源安全,是因为热门的开源项目关注度高,使用广,还有更多的人出于各种目的审计,隐患能更早的被暴露出来,这个漏洞不就是社区爆出来的。
    spinecho
        87
    spinecho  
       2021-01-15 12:39:53 +08:00 via iPhone
    @zhongjun96 你没开鉴权啊。
    no1xsyzy
        88
    no1xsyzy  
       2021-01-15 13:33:00 +08:00   ❤️ 1
    @lewis89 @fibbery @worldtongfb @slyang5
    就算不开公网端口,你们甚至不防内网横向移动的吗?
    那干脆也别划 VLAN 了,也别分生产环境测试环境办公环境了。
    zhongjun96
        89
    zhongjun96  
       2021-01-15 13:34:33 +08:00
    @spinecho #87 不确定你说的鉴权是啊,web 页面登陆是需要账号密码的。
    yannxia
        90
    yannxia  
       2021-01-15 13:34:35 +08:00
    吴老板你暴露了··
    no1xsyzy
        91
    no1xsyzy  
       2021-01-15 13:46:08 +08:00   ❤️ 1
    @Lax 你还是重新看一下 Linus 定律原表达吧……
    确切地说,不是 “后门的可能性”,而是 “后门不为人知的可能性”。
    Kali 自带一大堆渗透用的开源后门呢…… 然而大家都很清楚,完全不会 surprise 。 “它是后门?那就对了!我这就把它传到那个有漏洞的服务器上…… 嘿嘿,现在它是我的了。”

    @baobao1270 免责条款无法免除法律明确指出不可被免责的部分。
    实际上在国内免责条款效果比较弱。
    beyondex
        92
    beyondex  
       2021-01-16 20:29:11 +08:00
    我看成 macOS
    sewer
        93
    sewer  
       2022-03-30 23:11:26 +08:00
    @AA5DE3F034ACCB9E 开源给你做外包?
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2762 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 34ms · UTC 07:38 · PVG 15:38 · LAX 23:38 · JFK 02:38
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.