Nacos即Dynamic Naming and Configuration Service（动态命名与配置服务），是开源的一款服务发现、配置和管理微服务的中间件。

在Nacos中新发现的0day漏洞可以触发远程代码执行，开源网安RASP团队检测并分析出三种类型的攻击：不安全的反射漏洞、SQL注入攻击、命令注入。

影响版本

Nacos2.3.2、2.4.0版本

前期准备

操作系统：Windows，版本号：10

使用的防护工具：RASP，版本号：3.1.0

检测对象：Nacos，版本号：2.3.2

漏洞复现

未安装RASP，运行应用：

Nacos服务成功启动

启动攻击服务：

发送攻击请求：

上图可以看出，通过客户端，恶意命令“calc”被顺利执行。

解决方案

安装RASP

重启应用：

再次请求

响应被拦截。RASP平台针对该请求共检测出3条攻击行为，分别为：不安全的反射、SQL注入、命令注入。如下图所示：

不安全的反射：

SQL注入：

命令注入：

针对Nacos中新发现的0day漏洞可能触发的远程代码执行问题，开源网安RASP团队迅速响应，利用先进的运行时应用自我保护（RASP）技术，进行了深入分析，开源网安RASP解决方案不仅可以实时检测并阻断外部恶意攻击，更能在不影响业务系统运行的前提下，对潜在漏洞利用行为进行预警和记录，确保业务系统的稳定性和安全性，为企业数据资产提供坚实的保护屏障。

参考资料

https://mp.weixin.qq.com/s/p7yjVP8AVERXD9uvZKEF_w

推荐阅读

漏洞预警：某知名品牌智能手环发现低功耗蓝牙漏洞，无法连接用户设备

0Day漏洞防御篇：GeoServer CVE-2024-36401远程代码执行漏洞