MinIO敏感信息泄露漏洞(CVE-2023-28432)分析与复现指南

漏洞概述

MinIO是一个广泛应用于云场景下的高性能对象存储服务。该漏洞允许攻击者在无需身份认证的情况下获取服务端敏感配置信息，包括环境变量，在某些配置下甚至可能获取访问密钥(AK/SK)，导致攻击者可以直接登录后台管理系统。

影响范围

受影响版本

• RELEASE.2019-12-17T23-16-33Z <= MinIO < RELEASE.2023-03-20T20-16-18Z

受影响部署类型

• 仅影响集群部署模式下的MinIO服务
• 单节点部署不受此漏洞影响

漏洞验证方法

手动验证步骤

1. 确认目标MinIO服务运行在默认9000端口
2. 访问目标服务应返回MinIO登录页面
3. 发送以下HTTP请求：

POST /minio/bootstrap/v1/verify HTTP/1.1
Host: [目标IP或域名]
Content-Type: application/x-www-form-urlencoded
Content-Length: 0

自动化验证工具

1. Goby扫描器：已更新该漏洞检测插件

   • 参考链接：https://github.com/gobysec/CVE-2023-28432

2. Nuclei：使用专用检测模板

   nuclei -v -t /path/to/CVE-2023-28432.yaml -u http://xx.xx.xx.xx
   

漏洞利用分析

成功利用该漏洞后，攻击者可获取以下敏感信息：

• 服务器环境变量
• 可能的访问凭证(AK/SK)
• 其他MinIO服务配置信息

获取到的AK/SK可直接用于登录MinIO管理后台，可能导致数据泄露或服务被接管。

修复方案

官方修复

升级到安全版本：RELEASE.2023-03-20T20-16-18Z

• 下载地址：https://github.com/minio/minio/releases/tag/RELEASE.2023-03-20T20-16-18Z

临时缓解措施

在WAF上配置规则，拒绝所有POST到/minio/bootstrap/v1/verify的请求

参考资源

1. GitHub漏洞详情：https://github.com/Mr-xn/CVE-2023-28432
2. NVD漏洞记录：https://nvd.nist.gov/vuln/detail/CVE-2023-28432

注意事项

1. 该漏洞仅影响集群部署模式
2. 漏洞利用无需任何认证信息
3. 公开PoC已广泛传播，威胁等级较高
4. 建议受影响用户尽快升级或实施缓解措施