公网部署 Nacos 被入侵了...

查看 66|回复 8
作者:kerb15   
去年部署了单机模式的 nacos 并开放了公网,然后今天才发现在 520 有一个陌生的配置写进来了,
dataId=nacos.cfg.dataIdfoo ,配置内容为 helloworld
ip 是美国的
google 了一下“nacos.cfg.dataIdfoo”,发现了 nacos 存在鉴权绕过的漏洞,《 GHSL-2020-325: Authentication bypass in Nacos - CVE-2021-29441, CVE-2021-29442 》
在 github 仓库也发现了对应的 issue ,Report a security vulnerability in nacos to bypass authentication
并且论坛也曾经有人讨论过,nacos 出现严重安全漏洞
这个漏洞 21 年就被发现了,然而我去年在根据文档部署的时候,丝毫没有注意到关于该鉴权的强调,刚刚回头去看了眼文档,在[权限认证]的子栏目,才发现上面赫然写着:

Nacos 是一个内部微服务组件,需要在可信的内部网络中运行,不可暴露在公网环境,防止带来安全风险。

只好赶忙把 nacos 服务下掉了,如果有兄弟们部署了最好自查一下。
LightHiding777   
我的也出现了
yannxia   
是一个老问题了……公司的 WAF 早就屏蔽了
wuzzispacelake   
服务发现为什么要放公网,我的理解是不应该这么做
adoal   
每次看到这种把内部 infra 暴露到公网的安全案例,第一反应是羡慕豪横,可以任性把花钱买来的或者走申请流程签字才拿到手的公网 IP 这么珍贵的资源用在不需要从外部访问的资源上。
Foxkeh   
如果只是运维需要, 建议至少开个 IP 白名单
cyaki   
这个端口随便扫, 能扫出一大堆
totoro52   
nacos 开公网就是一个伪命题,就好比你把冰箱放家门外面问为什么大家都要开我家冰箱一个道理。
caola   
防火墙直接限制,允许指定对应 IP 的访问
您需要登录后才可以回帖 登录 | 立即注册

返回顶部