Nacos Client Yaml反序列化漏洞分析

背景

Nacos 致力于帮助您发现、配置和管理微服务。Nacos 提供了一组简单易用的特性集,帮助您快速实现动态服务发现、服务配置、服务元数据及流量管理。

Nacos 帮助您更敏捷和容易地构建、交付和管理微服务平台。 Nacos 是构建以“服务”为中心的现代应用架构 (例如微服务范式、云原生范式) 的服务基础设施。

Nacos是阿里巴巴于2018年开源的项目,目前在Github中已获得 19.8kSt,由此可见其的使用广泛程度。

未授权访问漏洞

threedr3am师傅在去年十二月份的时候在Github上给Nacos项目提交了Bypass 认证的Issue,详情可移步https://github.com/alibaba/nacos/issues/4593。在该Issue中提及了漏洞详情,Nacos的认证过滤器中会判断客户端的User-Agent如果是以Constants.NACOS_SERVER_HEADER(Nacos-Server)开头的话,则直接return返回。

对于上述的认证绕过漏洞争议很大,Nacos官方起初并不认为这是一个安全漏洞的问题,不过还是在1.4.1版本中发布了漏洞修复补丁。在1.4.1版本中需要在 application.properties添加nacos.core.auth.enable.userAgentAuthWhite的属性值为false,即可避免使用User-Agent绕过鉴权的问题,但这也引发了新的Bypass,具体的漏洞详情可移步至https://github.com/alibaba/nacos/issues/4701,不再赘述。

客户端Yaml反序列化

在Nacos的releases记录中搜索 yaml 关键字不难发现其在1.4.2版本中有个PR更新了Yaml的安全解析:

而根据PR的描述内容可知实际上该漏洞只影响单独使用 nacos-client SDK的用户,原因在于spring cloud、springboot、dubbo等框架中并非使用的 AbstractConfigChangeListener 监听配置,所以该漏洞只影响了使用AbstractConfigChangeListener监听配置的客户端。

漏洞分析

首先在Nacos服务端中添加一个用于测试监听的配置:

使用Maven引入nacos-client依赖:

1
2
3
4
5
<dependency>
<groupId>com.alibaba.nacos</groupId>
<artifactId>nacos-client</artifactId>
<version>1.4.1</version>
</dependency>

以官方的监听配置请求示例复现,需要修改serverAddr、dataId、group、Listener,如果配置了登陆还需要添加usernamepassword

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
// Client.java
import com.alibaba.nacos.api.NacosFactory;
import com.alibaba.nacos.api.config.ConfigChangeEvent;
import com.alibaba.nacos.api.config.ConfigService;
import com.alibaba.nacos.client.config.listener.impl.AbstractConfigChangeListener;

import java.util.Properties;

public class Client {
public static void main(String[] args) throws Exception {
String serverAddr = "{serverAddr}";
String dataId = "{dataId}";
String group = "{group}";
Properties properties = new Properties();
properties.put("serverAddr", serverAddr);
properties.put("username", "nacos");
properties.put("password", "nacos");
ConfigService configService = NacosFactory.createConfigService(properties);
String content = configService.getConfig(dataId, group, 5000);
System.out.println(content);
configService.addListener(dataId, group, new AbstractConfigChangeListener() {
@Override
public void receiveConfigChange(ConfigChangeEvent configChangeEvent) {
System.out.println(configChangeEvent);
}
});

while (true) {
try {
Thread.sleep(1000);
} catch (InterruptedException e) {
e.printStackTrace();
}
}
}
}

然后在com.alibaba.nacos.client.config.impl.YmlChangeParser#doParse方法中打下断点:

开启Debug并在服务端中修改上述用于测试的配置内容为yaml反序列化的payload,该payload会加载远程的jar包并运行主类的代码。

点击发布后即可命中断点

再根据堆栈信息进行回溯的调试,首先在ConfigFactory#createConfigService方法中通过反射获取com.alibaba.nacos.client.config.NacosConfigService类的实例对象并返回该对象。

NacosConfigService的构造器中实例化ClientWorker对象

跟进ClientWorkercheckConfigInfo方法

传入的对象为ClientWorker的内部类LongPollingRunnable对象,会调用其run方法。

而run方法就是nacos客户端的长轮询监听,run方法中会循环调用cacheDatax.checkListenerMd5方法,而CacheData对象是从ClientWorker对象的cacheMap属性中获取的。

1
Iterator var3 = ClientWorker.this.cacheMap.values().iterator();

cacheMap中缓存的CacheData对象是在客户端添加监听的时候写入的

再回到ClientWorker.LongPollingRunnable#run方法中,前面说到其会调用checkListenerMd5方法,该方法中会调用safeNotifyListener方法,并传入监听配置的dataIdgroupcontent(修改的新内容)、typemd5CacheData.ManagerListenerWrap对象。

safeNotifyListener方法中调用了ConfigChangeHandler#parseChangeData方法解析数据,传入的参数listenerWrap.lastContent为修改前的内容,content为修改后的内容,type为数据类型(TEXT/JSON/XML/YAML/HTML/Properties)。

其会调用YmlChangeParser#doParse方法

YmlChangeParser#doParser方法中触发Yaml反序列化漏洞,请求远程的Jar包并执行。

再次声明,该漏洞只影响使用AbstractConfigChangeListener监听器的客户端,原因如下:

漏洞修复

在1.4.2版本中已修复了该漏洞,修复方法为使用SnakeYaml提供的SafeConstructor解析Yaml配置。

实战应用

在实际的渗透测试中如果获取了Nacos Server控制台权限的话,不妨可以尝试修改已有的配置为Yaml Payload进行盲打客户端的攻击。但通常情况下的Springboot或SpringCloud都可以集成使用Nacos,所以这种场景下一般不会出现存在漏洞的情况。