Vulnerabilidade de execução remota de código de desserialização no Jraft Hessian da Nacos

14 de Junho de 2023, GMT+08:00

I. Descrição

Recentemente, a Nacos lançou uma versão atualizada para corrigir uma vulnerabilidade de execução remota de código de desserialização. Ao processar solicitações baseadas em Jraft, o cluster da Nacos usa hessian para desserialização, mas não restringe a classe de desserialização, o que pode permitir a execução remota de código. Atualmente, os detalhes dessa vulnerabilidade foram divulgados, e o seu risco é considerado alto.

Nacos é uma plataforma de descoberta, configuração e gerenciamento de serviços distribuídos de código aberto. Se você for um usuário da Nacos, verifique seu sistema e implemente medidas para a mitigação de riscos à segurança prontamente.

II. Gravidade

Gravidade: importante

(Gravidade: baixa, moderada, importante e crítica)

III. Produtos afetados

Versões afetadas:

1.4.0 <= Nacos < 1.4.6

2.0.0 <= Nacos < 2.2.3

Versões seguras:

Nacos 1.4.6

Nacos 2.2.3

IV. Tratamento da vulnerabilidade

Essa vulnerabilidade foi corrigida na versão oficial mais recente. Caso a sua versão em uso faça parte do escopo afetado, atualize-a para a segura.

https://github.com/alibaba/nacos/releases/tag/1.4.6

https://github.com/alibaba/nacos/releases/tag/2.2.3

Medidas para mitigação:

A vulnerabilidade afeta apenas a porta 7848 (por padrão), que é normalmente usada como porta de comunicação para o protocolo de inter-raft do cluster da Nacos e não gerencia solicitações de clientes. Portanto, o risco pode ser controlado desativando as solicitações externas dos clusters da Nacos em versões anteriores.

O HSS da Huawei Cloud (nova versão) pode detectar essa vulnerabilidade. Os usuários do HSS da Huawei Cloud podem acessar o console do HSS para detectar vulnerabilidades de host. Para obter detalhes, consulte Varredura de vulnerabilidades do HSS.

Observação: antes de corrigir vulnerabilidades, faça o backup dos seus arquivos e realize um teste completo.