【已复现】MinIO 信息泄露漏洞安全风险通告第二次更新

admin 2023年3月24日02:08:04评论61 views字数 1868阅读6分13秒阅读模式
【已复现】MinIO 信息泄露漏洞安全风险通告第二次更新

奇安信CERT

致力于第一时间为企业级用户提供权威漏洞情报和有效解决方案。
(注:奇安信CERT的漏洞深度分析报告包含此漏洞的POC及技术细节,订阅方式见文末。

安全通告

MinIO是一个用Golang开发的基于Apache License v2.0开源协议的对象存储服务。

近日,奇安信CERT监测到 MinIO 信息泄露漏洞(CVE-2023-28432),在集群部署的MinIO中,未经身份认证的远程攻击者通过发送特殊HTTP请求即可获取所有环境变量,其中包括MINIO_SECRET_KEY和MINIO_ROOT_PASSWORD,造成敏感信息泄露,最终可能导致攻击者以管理员身份登录MinIO。鉴于该漏洞利用简单,影响较大,建议客户尽快升级到安全版本。

本次更新内容:

奇安信CERT已复现此漏洞,新增漏洞复现截图;
新增奇安信产品线解决方案。
漏洞名称

MinIO 信息泄露漏洞

公开时间

2023-03-23

更新时间

2023-03-23

CVE编号

CVE-2023-28432

其他编号

QVD-2023-7117

威胁类型

信息泄露

技术类型

信息暴露

厂商

MinIO

产品

MinIO

风险等级

奇安信CERT风险评级

风险等级

高危

蓝色(一般事件)

现时威胁状态

POC状态

EXP状态

在野利用状态

技术细节状态

已发现

未发现

未发现

已公开

漏洞描述

MinIO 存在信息泄露漏洞,在集群部署的MinIO中,未经身份认证的远程攻击者通过发送特殊HTTP请求即可获取所有环境变量,其中包括MINIO_SECRET_KEY和MINIO_ROOT_PASSWORD,造成敏感信息泄露,最终可能导致攻击者以管理员身份登录MinIO。

影响版本

RELEASE.2019-12-17T23-16-33Z <= MinIO < RELEASE.2023-03-20T20-16-18Z

其他受影响组件

奇安信CERT已复现MinIO 信息泄露漏洞(CVE-2023-28432),复现截图如下:

【已复现】MinIO 信息泄露漏洞安全风险通告第二次更新

威胁评估

漏洞名称

MinIO 信息泄露漏洞

CVE编号

CVE-2023-28432

其他编号

QVD-2023-7117

CVSS 3.1评级

高危

CVSS 3.1分数

8.6

CVSS向量

访问途径(AV

攻击复杂度(AC

网络

用户认证(Au

用户交互(UI

不需要

影响范围(S

机密性影响(C

不改变

完整性影响(I

可用性影响(A

危害描述

利用该漏洞可以获取所有环境变量,其中包括MINIO_SECRET_KEY和MINIO_ROOT_PASSWORD,造成敏感信息泄露,最终可能导致攻击者以管理员身份登录MinIO。

处置建议

目前官方已发布安全修复版本,受影响用户可以升级到RELEASE.2023-03-20T20-16-18Z及以上版本。

https://github.com/minio/minio/releases/tag/RELEASE.2023-03-20T20-16-18Z

产品解决方案

安信网站应用安全云防护系统已更新防护特征库

奇安信网神网站应用安全云防护系统已全局更新所有云端防护节点的防护规则,支持对MinIO 信息泄露漏洞(CVE-2023-28432)的防护。

奇安信网神网络数据传感器系统产品检测方案

奇安信网神网络数据传感器(NDS5000/7000/9000系列)产品,已具备该漏洞的检测能力。规则ID为:7728,建议用户尽快升级检测规则库至2303232000以上;

奇安信自动化渗透测试系统产品解决方案

奇安信自动化渗透测试系统在第一时间加入了该漏洞的插件规则和指纹规则,请将插件版本和指纹版本升级到20230324180000上版本。规则名称:MinIO CVE-2023-28432 信息泄漏漏洞,插件版本:20230324180000,指纹版本:20230324180000。奇安信自动化渗透测试系统升级方法:系统管理->升级管理->插件升级(指纹升级),选择“网络升级”或“本地升级”。

参考资料

[1]https://github.com/minio/minio/releases/tag/RELEASE.2023-03-20T20-16-18Z

[2]https://github.com/minio/minio/security/advisories/GHSA-6xvq-wj2x-3h3q

时间线

2023年3月23日,奇安信 CERT发布安全风险通告;

2023年3月24日,奇安信 CERT发布安全风险通告第二次更新。

原文始发于微信公众号(奇安信 CERT):【已复现】MinIO 信息泄露漏洞安全风险通告第二次更新

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年3月24日02:08:04
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【已复现】MinIO 信息泄露漏洞安全风险通告第二次更新https://cn-sec.com/archives/1624743.html

发表评论

匿名网友 填写信息