Nacos Jraft Hessian反序列化漏洞
基本信息
- 预警日期:2023-6-6
- 预警文章链接:https://mp.weixin.qq.com/s/0J0K0iY3bcmYcOuPGymAlQ
- 漏洞定级:
漏洞描述
Nacos在处理某些基于Jraft的请求时,采用Hessian进行反序列化,但并未设置限制,导致应用存在远程代码执行(RCE)漏洞。
检测工具
X-POC远程检测工具
检测方法:
xpoc -r 100 -t http://xpoc.org
工具获取方式:
https://github.com/chaitin/xpoc
https://stack.chaitin.com/tool/detail?id=1036
牧云本地检测工具
检测方法:
在本地主机上执行以下命令即可无害化扫描:
./nacos_raft_deserialization_rce_scanner_linux_amd64 scan --output result.json
工具获取方式:
https://stack.chaitin.com/tool/detail?id=1175
影响范围
1.4.0 <= Nacos < 1.4.6 使用cluster集群模式运行
2.0.0 <= Nacos < 2.2.3 任意模式启动均受到影响
解决方案
临时缓解方案
对外限制开放7848端口,一般使用时该端口为Nacos集群间Raft协议的通信端口,不承载客户端请求,因此老版本可以通过禁止该端口来自Nacos集群外的请求达到止血目的(如部署时已进行限制或未暴露,则风险可控)。
升级修复方案
官方已发布新版本修复了该漏洞,可下载参考链接中的最新版本进行升级。
长亭支持检测产品
| 产品名称 | 支持说明 | 引擎版本 | 下载链接 |
| 雷池 | |||
| 谛听 | |||
| 洞鉴 | 支持以自定义PoC的方式检测该漏洞,已发布自定义PoC。 | https://bbs.chaitin.cn/kb/365 | |
| 牧云 | 漏洞情报升级包(VULN-23.06.003)已经在升级平台上发布。 | https://bbs.chaitin.cn/kb/364 | |
| 全悉 | 已发布升级包,支持该漏洞利用行为的检测。 | ||
| 云图 | 支持该漏洞的PoC特征检测,同时支持 2.x 版本的原理检测。 |
产品受影响及处置方案
| 产品名称 | 受影响说明 | 应急处置方法 | 正式处置方法 |
| 雷池 | 无 | ||
| 谛听 | 无 | ||
| 牧云 | 无 | ||
| 洞鉴 | 无 | ||
| 万象 | 无 |
