EN

【漏洞預警報告】MinIO 服務端請求偽造漏洞

發(fā)布時間:2021-03-12
瀏覽量: 10087

漏洞簡述



時間2021年02月02日

發(fā)現(xiàn)MinIO組件存在服務端偽造請求漏洞的信息,漏洞編號:CVE-2021-21287。

程序詳情

MinIO 是一個基于Apache License v2.0開源協(xié)議的對象存儲服務。它兼容亞馬遜S3云存儲服務接口,適合于存儲大容量非結構化的數據,例如圖片、視頻、日志文件、備份數據和容器/虛擬機鏡像等,而一個對象文件可以是任意大小,從幾kb到最大5T不等。

MinIO是一個輕量的服務,可以很簡單的和其他應用的結合,類似 NodeJS, Redis 或者 MySQL。



風險等級



威脅等級:高

影響范圍:廣泛



漏洞詳情


該漏洞是由于MinIO組件中LoginSTS接口邏輯設計不當,導致服務端請求偽造漏洞。攻擊者通過精心構造URL來修改對此功能的調用。在服務器端請求偽造攻擊中,攻擊者可以利用服務器上的功能來讀取或更新內部資源,可能結合內網其他服務進行執(zhí)行任意命令。



影響版本

MinIO < RELEASE.2021-01-30T00-20-58Z

 修復建議

升級組件到安全版本

github鏈接https://github.com/minio/minio

安全版本

MinIO >= RELEASE.2021-01-30T00-20-58Z



漏洞復現(xiàn)分析


漏洞分析

修復記錄提交日志鏈接:

https://github.com/minio/minio/commit/eb6871ecd960d570f70698877209e6db181bf276#diff-2b3f29fdeadc144f19a2d0e02e076608e0dd58cb2cce21b1b974bfc5bd21304b

從修復記錄中可以看出,修復后移除了可控參數host的相關代碼。

1615537170.png

MinIO中的LoginSTS接口用于代理AWS STS登錄請求,將發(fā)送到JsonRPC的請求轉化成STS的方式,再轉發(fā)給本地的9000端口。

未修復前,因為請求頭是用戶可控的,所以這里可以構造任意的Host,進而構造一個SSRF漏洞。


漏洞復現(xiàn)


0x00 環(huán)境部署

使用docker-compose 部署

1615537191.png

訪問http://you-ip:9000到登錄頁面

1615537210.png

0x01 刷新頁面,找到登錄頁面包含的JsonRPC請求

1615537231.png

0x02 先使用python3啟動一個http服務,用于檢測是否有回調過來

1615537244.png

0x03 修改method為 web.LoginSTS,指定host參數

1615537258.png

0x04 點擊Go之后可以看到已經有訪問記錄了,證明存在SSRF漏洞

1615537274.png

熱點內容

開始試用任子行產品
申請試用

20年公安服務經驗

7*24小時應急響應中心

自主知識產權的產品裝備

專家級安全服務團隊

網絡空間數據治理專家

榮獲國家科學技術二等獎

置頂
電話

400-700-1218

官方熱線電話

咨詢
留言
二維碼
微信公眾號
公司微博