Analisi riassuntiva
La grave vulnerabilità CVE-2026-31979 riguarda un'escalation dei privilegi locali (CVSS 8.8) in Himmelblau, una suite di interoperabilità open source che integra i sistemi Linux con Microsoft Azure Entra ID e Intune.
Se sfruttata correttamente, questa vulnerabilità garantisce un accesso completo alla directory radice per un utente locale senza privilegi, quindi consente ad un criminale già penetrato all'interno di un ambiente di aggirare i controlli di sicurezza locali, accedere a dati sensibili (come /etc/shadow) e stabilire un accesso persistente sull'host.
Questa vulnerabilità è una race condition con un collegamento simbolico (symlink). Il sistema non consente di gestire correttamente le operazioni dei file nella directory /tmp condivisa, quindi offre ad un criminale la possibilità di eseguire un processo con privilegi elevati per modificare i file critici del sistema.
Si tratta quindi di un rischio elevato per le organizzazioni che eseguono "Linux on the Desktop" o ambienti cloud ibridi con Himmelblau per l'applicazione delle policy Intune e la gestione delle identità di Azure.
Dettagli della vulnerabilità
Himmelblau è una suite di interoperabilità fondamentale, che viene utilizzata dalle aziende per colmare il divario esistente tra gli ecosistemi di Linux e tra Microsoft Azure Entra ID e Intune. Himmelblau consente alle organizzazioni di gestire i dispositivi di Linux con gli stessi controlli di identità e policy comunemente applicati ai dispositivi di Windows, tra cui SSO (Single Sign-on) e la conformità dei dispositivi.
Prima delle versioni 3.1.0 e 2.3.8, fu scoperto un grave bug a livello dell'architettura nel daemon himmelblaud-tasks. Poiché questo daemon deve essere eseguito con privilegi radice per gestire i token di autenticazione a livello di sistema, qualsiasi vulnerabilità nella logica di gestione dei file comporta rischi significativi.
La vulnerabilità, identificata con il codice CVE-2026-31979, deriva dal mancato utilizzo da parte del daemon delle protezioni symlink durante la scrittura dei file cache delle credenziali Kerberos nella directory /tmp condivisa. Combinando una serie di operazioni di file non sicure con la mancanza di isolamento dello spazio dei nomi systemd, un criminale locale può reindirizzare le azioni del daemon per assumere la proprietà dei system file critici, elevando in modo efficace i suoi privilegi di utente standard a privilegi radice.
Prodotti interessati
Il componente vulnerabile è ampiamente implementato in tutti gli ambienti aziendali. Fare riferimento agli avvisi ufficiali dei fornitori per un elenco completo e attendibile delle versioni interessate.
Classificazione CWE
CWE-269: gestione inadeguata dei privilegi
CWE-862: mancanza di autorizzazione
Mapping MITRE ATT&CK
Tecnica |
Nome |
Tattica |
|---|---|---|
T1068 |
Sfruttamento per l'escalation dei privilegi |
Escalation dei privilegi |
T1548 |
Abuso del meccanismo di controllo dell'elevazione dei privilegi |
Escalation dei privilegi |
La vulnerabilità è radicata in un TOCTOU (Time-Of-Check to Time-Of-Use). Poiché il daemon himmelblaud-tasks non dispone di uno spazio dei nomi di esecuzione sicuro (a causa della rimozione di PrivateTmp), opera nello stesso spazio /tmp degli utenti senza privilegi.
Sfruttando la dipendenza del daemon dalle operazioni basate sul percorso anziché sul descrittore di file, un criminale può vincere una race condition per sostituire una directory legittima con un symlink prima che le modifiche di proprietà vengano applicate dal daemon.
Riproduzione dell'exploit in 3 fasi
Per sfruttare questa vulnerabilità, un criminale deve disporre di un accesso locale senza privilegi ad un sistema che esegue una versione vulnerabile di himmelblaud-tasks. La vulnerabilità viene sfruttata in modo estremamente efficace in ambienti in cui si verificano registrazioni automatizzate o frequenti rinnovi delle operazioni di autenticazione.
Fase 1. Creazione della trappola di symlink
In qualità di utente senza privilegi (ad esempio, UID 1000), bisogna innanzitutto creare un collegamento simbolico in /tmp, prendendo di mira una directory di sistema con privilegi, come:
ln -s /etc /tmp/krb5cc_$(id -u)Fase 2. Attivazione del daemon radice
Eseguire un'azione in grado di avviare un flusso di autenticazione Kerberos, come un accesso PAM o l'uso di aad-tool.
aad-tool auth loginFase 3. Verifica della proprietà violata
Il daemon chiama create_ccache_dir per il percorso del criminale. Poiché non è a conoscenza del collegamento, segue il symlink ed esegue la funzione chown su /etc.
ls -ld /etc
# Output will show /etc is now owned by the unprivileged user.Analisi delle patch
La correzione per la vulnerabilità CVE-2026-31979 è una patch che risolve la race condition passando da operazioni basate su percorsi di alto livello ad un sistema di sicurezza basato su descrittori di file di basso livello.
Implementazione del flag O_NOFOLLOW. La patch aggiorna write_bytes_to_file per includere il flag O_NOFOLLOW nella chiamata di sistema open(). Il kernel ora si rifiuta di aprire un percorso che è un symlink, restituendo un errore ELOOP.
Passaggio alla funzione lchown. Il daemon originariamente si basava sulla funzione chown, che risolve i symlink. La patch sostituisce questa funzione con lchown per garantire che le modifiche di proprietà vengano applicate solo al collegamento stesso, non all'obiettivo sensibile.
Creazione sicura di directory. La patch introduce la logica O_EXCL. Il daemon ora garantisce la creazione di una nuova directory in modo atomico, ma l'operazione non riesce se esiste già un file o un symlink in quel percorso.
Rilevamento delle applicazioni vulnerabili
Regola Sigma (verifica Linux)
title: Detect Himmelblau Symlink Attack
id: 0d3d2cf5-194a-efe7-03a8-ac164aaf975b
status: experimental
description: Detects the himmelblaud-tasks daemon following a symlink to sensitive directories.
logsource:
product: linux
service: auditd
detection:
selection:
type: SYSCALL
syscall: chown
exe: /usr/sbin/himmelblaud-tasks
filter:
path: '/tmp/krb5cc_*'
condition: selection
tags:
- attack.privilege_escalation
- attack.t1068
level: highOsquery: CVE-2026-31979 - File binari SUID/SGID
SELECT
f.path,
f.uid AS owner_uid,
u.username
FROM file f
JOIN users u ON f.uid = u.uid
WHERE f.path LIKE '/tmp/krb5cc_%'; I clienti di Akamai possono utilizzare le query di Akamai Guardicore Segmentation Insight per identificare le risorse vulnerabili e i segni di sfruttamento all'interno dei loro ambienti.
Mitigazione
Se non è possibile applicare immediatamente la patch alla versione 3.1.0, riattivare manualmente il sandboxing systemd, sostituendo il servizio himmelblaud-tasks e aggiungendo PrivateTmp=true. In questo modo, il vettore di attacco symlink viene interrotto in modo efficace isolando il daemon /tmp dalla directory /tmp dell'utente.
Riepilogo
La vulnerabilità CVE-2026-31979 rappresenta un'interruzione critica del limite di fiducia tra utenti locali senza privilegi e daemon di sistema con privilegi elevati. Sfruttando una race condition TOCTOU nella suite Himmelblau, i criminali possono utilizzare la directory /tmp condivisa per eseguire operazioni di file a livello radice.
Poiché Himmelblau funge da principale ponte di identità per l'integrazione tra Linux e Azure, questa vulnerabilità non solo garantisce un accesso locale alla directory radice, ma compromette l'integrità del rapporto tra l'host e Microsoft Entra ID.
Le organizzazioni devono considerare questa vulnerabilità non solo come un bug locale, ma come una potenziale porta d'accesso per il movimento laterale dei criminali nell'infrastruttura integrata nel cloud.
Tenetevi al passo
L'Akamai Security Intelligence Group continuerà a monitorare, segnalare e creare mitigazioni per minacce come queste per i clienti dell'azienda e per la più vasta comunità della sicurezza. Per tenervi aggiornati sulle ultime novità dell'Akamai Security Intelligence Group, potete consultare la nostra pagina relativa ai lavori di ricerca e seguirci sui social media.
Tag
