公司新聞
漏洞簡述
發(fā)現(xiàn)MinIO組件存在服務(wù)端偽造請求漏洞的信息,漏洞編號:CVE-2021-21287。
MinIO 是一個基于Apache License v2.0開源協(xié)議的對象存儲服務(wù)。它兼容亞馬遜S3云存儲服務(wù)接口,適合于存儲大容量非結(jié)構(gòu)化的數(shù)據(jù),例如圖片、視頻、日志文件、備份數(shù)據(jù)和容器/虛擬機鏡像等,而一個對象文件可以是任意大小,從幾kb到最大5T不等。
MinIO是一個輕量的服務(wù),可以很簡單的和其他應(yīng)用的結(jié)合,類似 NodeJS, Redis 或者 MySQL。
風(fēng)險等級
威脅等級:高
影響范圍:廣泛
漏洞詳情
該漏洞是由于MinIO組件中LoginSTS接口邏輯設(shè)計不當(dāng),導(dǎo)致服務(wù)端請求偽造漏洞。攻擊者通過精心構(gòu)造URL來修改對此功能的調(diào)用。在服務(wù)器端請求偽造攻擊中,攻擊者可以利用服務(wù)器上的功能來讀取或更新內(nèi)部資源,可能結(jié)合內(nèi)網(wǎng)其他服務(wù)進行執(zhí)行任意命令。
影響版本
修復(fù)建議
升級組件到安全版本:
安全版本:
MinIO >= RELEASE.2021-01-30T00-20-58Z
漏洞復(fù)現(xiàn)分析
漏洞分析:
修復(fù)記錄提交日志鏈接:
https://github.com/minio/minio/commit/eb6871ecd960d570f70698877209e6db181bf276#diff-2b3f29fdeadc144f19a2d0e02e076608e0dd58cb2cce21b1b974bfc5bd21304b
從修復(fù)記錄中可以看出,修復(fù)后移除了可控參數(shù)host的相關(guān)代碼。
MinIO中的LoginSTS接口用于代理AWS STS登錄請求,將發(fā)送到JsonRPC的請求轉(zhuǎn)化成STS的方式,再轉(zhuǎn)發(fā)給本地的9000端口。
未修復(fù)前,因為請求頭是用戶可控的,所以這里可以構(gòu)造任意的Host,進而構(gòu)造一個SSRF漏洞。
漏洞復(fù)現(xiàn)
0x00 環(huán)境部署
使用docker-compose 部署
訪問http://you-ip:9000到登錄頁面