漏洞名称:
MinIO权限提升漏洞(CVE-2024-24747)
组件名称:
MinIO
影响范围:
MinIO < RELEASE.2024-01-31T20-20-33Z
漏洞类型:
权限提升
利用条件:
1、用户认证:需要用户认证
2、前置条件:默认配置
3、触发方式:远程
综合评价:
<综合评定利用难度>:普通,需要低权限。
<综合评定威胁等级>:高危,能造成权限提升。
官方解决方案:
已发布
漏洞分析
组件介绍
MinIO是一款开源的对象存储服务器,兼容亚马逊的S3协议,对Kubernetes能够友好的支持,专为AI等云原生工作负载而设计。
漏洞简介
2024年2月2日,深瞳漏洞实验室监测到一则MinIO 存在权限提升漏洞的信息,漏洞编号:CVE-2024-24747,漏洞威胁等级:高危。
该漏洞是由于用户创建的访问密钥会继承更高的权限并可以覆盖现有权限。攻击者可利用该漏洞在获得低权限的情况下,构造恶意数据执行权限提升攻击,最终获取管理员权限。
影响范围
目前受影响的MinIO版本:
MinIO < RELEASE.2024-01-31T20-20-33Z
解决方案
如何检测组件系统版本
进入 MinIO的安装目录,执行minio version命令。
官方修复建议
当前官方已发布最新版本,建议受影响的用户及时更新升级到最新版本。链接如下:
https://github.com/minio/minio/releases
深信服解决方案
1.风险资产发现
支持对MinIO的主动检测,可批量检出业务场景中该事件的受影响资产情况,相关产品如下:
【深信服主机安全检测响应平台CWPP】已发布资产检测方案。
【深信服云镜YJ】已发布资产检测方案。
【深信服漏洞评估工具TSS】已发布资产检测方案。
参考链接
https://github.com/minio/minio/security/advisories/GHSA-xx8w-mq23-29g4
时间轴
2024/2/2
深瞳漏洞实验室监测到MinIO权限提升漏洞(CVE-2024-24747)攻击信息。
2024/2/2
深瞳漏洞实验室发布漏洞通告。
点击阅读原文,
原文始发于微信公众号(深信服千里目安全技术中心):【漏洞通告】MinIO权限提升漏洞CVE-2024-24747
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论