Nacos Derby 远程命令执行漏洞修复建议

由于Nacos <= 2.4.0 BETA 存在 Derby 远程命令执行漏洞，恶意攻击者利用此漏洞可以未授权执行SQL语句，最终导致任意代码执行。目前该漏洞PoC和技术细节已在互联网上公开。

 

一、漏洞情况分析

Nacos 是一个功能强大的服务注册与发现、配置管理平台，为微服务架构和云原生应用提供了重要的基础设施支持。

由于Alibaba Nacos部分版本中derby数据库默认可以未授权访问，恶意攻击者利用此漏洞可以未授权执行SQL语句，最终导致任意代码执行。该漏洞利用存在如下条件：

1、Nacos未开启身份认证。

2、Nacos使用derby内置数据库。

 

二、漏洞影响范围

Nacos <= 2.4.0 BETA

 

三、漏洞处置建议

3.1 官方修复方案

官方已经在最新代码中通过默认禁用derby接口的方式对本漏洞进行了修复，但还未合并到发行版本，修复代码如下所示：

Close derby ops api default. (#12372) · alibaba/nacos@ed7bd03 · GitHub

3.2 临时修复方案

1、在不影响业务的情况下，使用MySQL等外置数据库。

2、配置Nacos开启身份认证，设置强密码。详细操作过程可参考官方手册：权限校验 | Nacos 官网

3、使用iptables、安全组等方式，限制访问Nacos端口的源IP。