MinIO服务器端请求伪造漏洞(CVE-2021-21287)

发布时间 2021-02-03

0x00 漏洞概述

CVE  ID

CVE-2021-21287

时   间

2021-02-03

类   型

SSRF

等   级

高危

远程利用

影响范围


 

0x01 漏洞详情

image.png

 

简述

MinIO是一个基于Apache License v2.0开源协议的对象存储服务。它兼容AMAZONS3云存储服务接口,适用于存储大容量非结构化的数据(如图片、视频、日志文件、备份数据和容器/虚拟机镜像等),作为一款支撑部署在私有云的开源对象存储系统,MinIO在全球被广泛使用。

2021年02月03日,phith0n公开披露了MinIO中的一个服务器端请求伪造漏洞(CVE-2021-21287),其CVSS评分7.7。由于MinIO组件中LoginSTS接口设计不当,导致存在服务器端请求伪造漏洞。攻击者可以通过构造URL来发起服务器端请求伪造攻击,成功利用此漏洞的攻击者能够通过利用服务器上的功能来读取、更新内部资源或实行任意命令。该漏洞无需用户验证即可远程利用,目前已被修复。

 

漏洞细节

MinIO组件中LoginSTS接口其实是AWS STS登录接口的一个代理,用于将发送到JsonRPC的请求转变成STS的方式转发给本地的9000端口。

// LoginSTS - STS user login handler.

func (web *webAPIHandlers) LoginSTS(r *http.Request, args *LoginSTSArgs, reply *LoginRep) error {

 ctx := newWebContext(r, args, "WebLoginSTS")

 

 v := url.Values{}

 v.Set("Action", webIdentity)

 v.Set("WebIdentityToken", args.Token)

 v.Set("Version", stsAPIVersion)

 

 scheme := "http"

    // ...

 

 u := &url.URL{

  Scheme: scheme,

  Host:   r.Host,

 }

 

 u.RawQuery = v.Encode()

 req, err := http.NewRequest(http.MethodPost, u.String(), nil)

 // ...

}

由于逻辑设计不当,MinIO会将用户发送的HTTP头Host中获取到地址作为URL的Host来构造新的URL。但由于请求头是用户可控的,所以可以构造任意的Host,最终导致存在SSRF漏洞。

 

影响范围

MinIO < RELEASE.2021-01-30T00-20-58Z

 

 

0x02 处置建议

目前该漏洞已被修复,建议升级至RELEASE.2021-01-30T00-20-58Z。

下载链接:

https://github.com/minio/minio/releases/tag/RELEASE.2021-01-30T00-20-58Z

 

解决方法

配置环境变量“ MINIO_BROWSER = off”。

 

0x03 参考链接

https://mp.weixin.qq.com/s/X04IhY9Oau-kDOVbok8wEw

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21287

https://nvd.nist.gov/vuln/detail/CVE-2021-21287

 

0x04 时间线

2021-02-02  phith0n披露漏洞

2021-02-03  VSRC发布安全通告

 

0x05 附录

 

CVSS评分标准官网:http://www.first.org/cvss/

image.png