【已复现】MinIO 信息泄露漏洞安全风险通告第二次更新

奇安信CERT

致力于第一时间为企业级用户提供权威漏洞情报和有效解决方案。

（注：奇安信CERT的漏洞深度分析报告包含此漏洞的POC及技术细节，订阅方式见文末。）

安全通告

MinIO是一个用Golang开发的基于Apache License v2.0开源协议的对象存储服务。

近日，奇安信CERT监测到 MinIO 信息泄露漏洞(CVE-2023-28432)，在集群部署的MinIO中，未经身份认证的远程攻击者通过发送特殊HTTP请求即可获取所有环境变量，其中包括MINIO_SECRET_KEY和MINIO_ROOT_PASSWORD，造成敏感信息泄露，最终可能导致攻击者以管理员身份登录MinIO。鉴于该漏洞利用简单，影响较大，建议客户尽快升级到安全版本。

本次更新内容：

奇安信CERT已复现此漏洞，新增漏洞复现截图；

新增奇安信产品线解决方案。‍

漏洞名称	MinIO 信息泄露漏洞
公开时间	2023-03-23	更新时间	2023-03-23
CVE编号	CVE-2023-28432	其他编号	QVD-2023-7117
威胁类型	信息泄露	技术类型	信息暴露
厂商	MinIO	产品	MinIO
风险等级
奇安信CERT风险评级		风险等级
高危		蓝色（一般事件）
现时威胁状态
POC状态	EXP状态	在野利用状态	技术细节状态
已发现	未发现	未发现	已公开
漏洞描述	MinIO 存在信息泄露漏洞，在集群部署的MinIO中，未经身份认证的远程攻击者通过发送特殊HTTP请求即可获取所有环境变量，其中包括MINIO_SECRET_KEY和MINIO_ROOT_PASSWORD，造成敏感信息泄露，最终可能导致攻击者以管理员身份登录MinIO。
影响版本	RELEASE.2019-12-17T23-16-33Z <= MinIO < RELEASE.2023-03-20T20-16-18Z
其他受影响组件	无

奇安信CERT已复现MinIO 信息泄露漏洞(CVE-2023-28432)，复现截图如下：

目前官方已发布安全修复版本，受影响用户可以升级到RELEASE.2023-03-20T20-16-18Z及以上版本。

https://github.com/minio/minio/releases/tag/RELEASE.2023-03-20T20-16-18Z

奇安信网站应用安全云防护系统已更新防护特征库

奇安信网神网站应用安全云防护系统已全局更新所有云端防护节点的防护规则，支持对MinIO 信息泄露漏洞(CVE-2023-28432)的防护。

奇安信网神网络数据传感器系统产品检测方案

奇安信网神网络数据传感器（NDS5000/7000/9000系列）产品，已具备该漏洞的检测能力。规则ID为：7728，建议用户尽快升级检测规则库至2303232000以上；

奇安信自动化渗透测试系统产品解决方案

奇安信自动化渗透测试系统在第一时间加入了该漏洞的插件规则和指纹规则，请将插件版本和指纹版本升级到20230324180000上版本。规则名称：MinIO CVE-2023-28432 信息泄漏漏洞，插件版本：20230324180000，指纹版本：20230324180000。奇安信自动化渗透测试系统升级方法：系统管理->升级管理->插件升级（指纹升级），选择“网络升级”或“本地升级”。

[1]https://github.com/minio/minio/releases/tag/RELEASE.2023-03-20T20-16-18Z

[2]https://github.com/minio/minio/security/advisories/GHSA-6xvq-wj2x-3h3q

2023年3月23日，奇安信 CERT发布安全风险通告；

2023年3月24日，奇安信 CERT发布安全风险通告第二次更新。

原文始发于微信公众号（奇安信 CERT）：【已复现】MinIO 信息泄露漏洞安全风险通告第二次更新