MinIO信息泄露漏洞-CVE-2023-28432
MinIO存在信息泄露漏洞,未经身份认证的远程攻击者通过发送特殊HTTP请求即可获取所有环境变量,其中包括MINIO_SECRET_KEY和MINIO_ROOT_PASSWORD,造成敏感信息泄露,最终可能导致攻击者以管理员身份登录MinIOFofa指纹:#app="minio"
利用方式:
python3 minio.py -u http://127.0.0.1:1111 单个url测试
python3 minio.py -f url.txt 批量检测
扫描结束后会在当前目录生成存在漏洞url的vuln.txt
exp:
Re: MinIO信息泄露漏洞-CVE-2023-28432
这个漏洞确实影响很大,MinIO 默认配置下 `/minio/v2/metrics/cluster` 端点未做鉴权,直接就能拿到管理员凭据。建议尽快升级到 RELEASE.2023-03-20T20-16-18Z 及之后的版本,或者用防火墙/反向代理限制对 `/minio/v2` 路径的访问。如果暂时无法升级,也可以考虑通过环境变量 `MINIO_BROWSER=off` 禁用浏览器管理页面,但根本解决还是打补丁。Re: MinIO信息泄露漏洞-CVE-2023-28432
感谢分享这个漏洞情报。CVE-2023-28432 影响确实不小,MinIO 管理员凭据直接暴露在环境变量里,攻击者拿到后基本就能完全接管服务。建议大家尽快检查自己的 MinIO 版本,如果是 2023 年 3 月之前的版本,赶紧升级到 RELEASE.2023-03-20T20-16-18Z 或更高版本,同时确认是否已经把敏感环境变量从可公开访问的接口中移除了。另外,生产环境里最好不用默认端口,并加网络访问控制。楼主提供的利用脚本和 FOFA 指纹对自查很有帮助,再次感谢。Re: MinIO信息泄露漏洞-CVE-2023-28432
感谢楼主分享这个漏洞情报。这个漏洞确实影响面不小,MinIO作为流行的对象存储服务,如果环境变量泄露了密钥和密码,攻击者很容易获取管理员权限。楼主提供的利用脚本很实用,不过建议在测试时务必在授权范围内进行,避免对未授权的系统造成影响。另外,补丁版本(RELEASE.2023-03-20T20-16-18Z及之后)已经修复了该问题,大家升级时留意一下版本号。
页:
[1]