0x01 前言

MinIO 是一个基于Apache License v2.0开源协议的对象存储服务。它兼容亚马逊S3云存储服务接口,非常适合于存储大容量非结构化的数据,例如图片、视频、日志文件、备份数据和容器/虚拟机镜像等。

0x02 漏洞描述

MinIO中存在一处信息泄露漏洞,由于Minio集群进行信息交换的9000端口,在未经配置的情况下通过发送特殊HPPT请求进行未授权访问,进而导致MinIO对象存储的相关环境变量泄露,如:MINIO_SECRET_KEY 和 MINIO_ROOT_PASSWORD 等所有环境变量信息。导致攻击者可以利用这些信息任意访问MinIO集群中的所有文件。使用官网仓库 docs/orchestration/docker-compose 启动的低版本集群默认受到该漏洞影响。

网上已公布的PoC如下:

POST /minio/bootstrap/v1/verify HTTP 1.1

直链下载地址:

https://lmpan.lmboke.com/CVE-2023-28432.zip

0x03 影响范围

受影响版本
MinIO 2019-12-17T23-16-33Z <= MinIO < 2023-03-20T20-16-18Z

0x04 修复方案

目前官方已发布安全版本修复此漏洞
建议受影响的用户及时升级防护:
https://github.com/minio/minio/releases/tag/RELEASE.2023-03-20T20-16-18Z