公网部署 Nacos 被入侵了...

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

已注册用户请登录

请不要在回答技术问题时复制粘贴 AI 生成的内容

这是一个创建于 504 天前的主题，其中的信息可能已经有所发展或是发生改变。

去年部署了单机模式的 nacos 并开放了公网，然后今天才发现在 520 有一个陌生的配置写进来了， dataId=nacos.cfg.dataIdfoo ，配置内容为 helloworld ip 是美国的

google 了一下“nacos.cfg.dataIdfoo”，发现了 nacos 存在鉴权绕过的漏洞，《 GHSL-2020-325: Authentication bypass in Nacos - CVE-2021-29441, CVE-2021-29442 》

在 github 仓库也发现了对应的 issue ，Report a security vulnerability in nacos to bypass authentication

并且论坛也曾经有人讨论过，nacos 出现严重安全漏洞

这个漏洞 21 年就被发现了，然而我去年在根据文档部署的时候，丝毫没有注意到关于该鉴权的强调，刚刚回头去看了眼文档，在[权限认证]的子栏目，才发现上面赫然写着：

Nacos 是一个内部微服务组件，需要在可信的内部网络中运行，不可暴露在公网环境，防止带来安全风险。

只好赶忙把 nacos 服务下掉了，如果有兄弟们部署了最好自查一下。

第 1 条附言 2024-05-25 15:08:43 +08:00

op 的需求是：有一个友好的前端界面可以随时随地在公网动态下发配置，拉取配置的机器是不具备公网的某台远程主机。

nacos

入侵

漏洞

16 条回复 2024-05-27 09:23:37 +08:00

LightHiding777

2024-05-24 18:42:28 +08:00

我的也出现了

yannxia

2024-05-24 18:47:22 +08:00

是一个老问题了……公司的 WAF 早就屏蔽了

07aPzknB16ui9Cp3

2024-05-24 18:51:15 +08:00

服务发现为什么要放公网，我的理解是不应该这么做

adoal

2024-05-24 18:57:51 +08:00

每次看到这种把内部 infra 暴露到公网的安全案例，第一反应是羡慕豪横，可以任性把花钱买来的或者走申请流程签字才拿到手的公网 IP 这么珍贵的资源用在不需要从外部访问的资源上。

Foxkeh

2024-05-24 19:58:50 +08:00

如果只是运维需要, 建议至少开个 IP 白名单

cyaki

2024-05-24 2008:03 +08:00

这个端口随便扫, 能扫出一大堆

MIUIOS

2024-05-24 20:33:00 +08:00

nacos 开公网就是一个伪命题，就好比你把冰箱放家门外面问为什么大家都要开我家冰箱一个道理。

caola

2024-05-24 20:43:37 +08:00

防火墙直接限制，允许指定对应 IP 的访问

james122333

2024-05-24 22:58:33 +08:00 via Android

从来都不用这种乱七八糟的东西公司就除外搂

heqingpan

2024-05-25 10:19:44 +08:00 via Android

OP 暴露 nacos 到外网的目的是什么？

如果只是想用控制台做运维，可以试试用 r-nacos （用 rust 重新实现的兼容服务）。

r-nacos 的控制台支持对外网暴露。
控制台使用独立端口号，然后对这个端口号所有请求加上登录与鉴权验证。
控制台登陆接口内置错误频次限制与验证码，避免对账户的暴力遍历破解。