요약 보고서
CVE-2026-31979는 Linux 시스템을 Microsoft Azure Entra ID 및 Intune과 통합하는 오픈 소스 상호 운용성 제품군인 Himmelblau에서 발생하는 심각도 높은 로컬 권한 상승 취약점(CVSS 8.8)입니다.
악용에 성공하면 권한이 없는 로컬 사용자에게 전체 루트 접속 권한이 부여됩니다. 이를 통해 사용자 환경에서 이미 발판을 마련한 공격자는 로컬 보안 제어를 우회하고, 민감한 데이터(예: /etc/shadow)에 접속하고, 호스트에 대한 지속적인 접속 권한을 확보할 수 있습니다.
이 취약점은 심볼릭 링크(symlink) 경쟁 조건에서 발생합니다. 이 시스템은 공유 /tmp 디렉터리의 파일 작업을 잘못 처리함으로써 공격자가 높은 권한이 적용된 프로세스를 속여 시스템에 중요한 파일을 수정할 수 있습니다.
Intune 정책 적용 및 Azure ID 관리를 위해 Himmelblau를 사용하는 "데스크톱 기반의 Linux" 또는 하이브리드 클라우드 환경을 실행하는 기업은 높은 리스크에 노출됩니다.
취약점 세부 정보
Himmelblau는 기업이 Linux 생태계와 Microsoft Azure Entra ID 및 Intune 간의 격차를 해소하기 위해 사용하는 중요한 상호 운용성 제품군입니다. 이를 통해 기업은 SSO(Single Sign-On) 및 디바이스 컴플라이언스 등, Windows 디바이스에 일반적으로 적용되는 것과 동일한 ID 및 정책 제어를 통해 Linux 시스템을 관리할 수 있습니다.
버전 3.1.0 및 2.3.8 이전에는 himmelblaud-tasks 데몬에서 심각한 아키텍처 취약점이 발견되었습니다. 이 데몬은 시스템 전체 인증 토큰을 관리하기 위해 루트 권한으로 실행되어야 하므로 파일 처리 로직의 취약점이 심각한 리스크를 초래합니다.
CVE-2026-31979로 확인된 이 취약점은 데몬이 공유 /tmp 디렉터리에 Kerberos 인증정보 캐시 파일을 쓸 때 symlink 보호를 사용하지 못함으로 인해 발생합니다. 로컬 공격자는 systemd 네임스페이스가 격리되지 않은 상황에서 안전하지 않은 파일 작업을 활용해 데몬의 작업을 리디렉션해 중요한 시스템 파일의 소유권을 확보함으로써 표준 사용자에서 루트로 권한을 효과적으로 상승시킬 수 있습니다.
영향을 받는 제품
취약한 구성요소가 기업 환경에 광범위하게 배포되어 있습니다. 영향을 받는 버전의 전체 권한 목록은 공식 벤더 권고를 참조하세요.
CWE 분류
CWE-269: 부적절한 권한 관리
CWE-862: 권한 확인 누락
MITRE ATT&CK 매핑
기법 |
이름 |
기법 |
|---|---|---|
T1068 |
권한 상승 악용 |
권한 확대 |
T1548 |
상승 제어 메커니즘 남용 |
권한 확대 |
이 취약점은 TOCTOU(Time-of-Check to Use) 취약점에 뿌리를 두고 있습니다. himmelblaud-tasks 데몬은 PrivateTmp의 제거로 인해 보안 실행 네임스페이스가 없기 때문에 권한이 없는 사용자와 동일한 /tmp 공간에서 작동합니다.
공격자는 이 데몬이 파일 디스크립터 기반 작업이 아닌 경로 기반 작업에 의존하는 것을 악용해 "경합"에서 이겨 데몬이 소유권 변경을 적용하기 전에 정상적인 디렉토리를 symlink로 대체할 수 있습니다.
악용 방식을 3단계로 재현
이 취약점을 악용하려면 공격자는 취약한 버전의 himmelblaud-tasks를 실행하는 시스템에 대한 권한이 없는 로컬 접속 권한을 가져야 합니다. 악용은 자동화된 등록이나 빈번한 재인증이 발생하는 환경에서 매우 안정적으로 이루어집니다.
1단계: symlink 트랩 생성
권한이 없는 사용자(예: UID 1000)로서, 권한이 부여된 시스템 디렉터리를 대상으로 하는 심볼 링크를 /tmp에 생성합니다.
ln -s /etc /tmp/krb5cc_$(id -u)2단계: 루트 데몬 트리거
PAM 로그인 또는 AAD-TOOL 사용 등, Kerberos 인증 흐름을 시작하는 작업을 수행합니다.
aad-tool auth login3단계: 탈취된 소유권 확인
해당 데몬이 공격자의 경로에 대해 create_ccache_dir을 호출합니다. 링크를 인식하지 않으므로 symlink를 따르고 /etc에서 chown을 실행합니다.
ls -ld /etc
# Output will show /etc is now owned by the unprivileged user.패치 분석
CVE-2026-31979에 대한 수정 패치는 하이레벨 경로 기반 작업에서 로우레벨 파일 디스크립터 기반 보안으로 전환해 경쟁 조건을 해소합니다.
O_NOFOLLOW의 구현. 이 패치는 WRITE_BYTES_TO_FILE을 업데이트해 open() 시스템 호출에 O_NOFOLLOW 플래그를 포함합니다. 이제 커널은 symlink인 경로를 열지 않고 ELOOP 오류를 반환합니다.
lchown으로 전환. 이 데몬은 원래 symlink를 확인하는 chown에 의존했습니다. 이 패치는 이를 lchown으로 대체해 소유권 수정 사항이 민감한 대상이 아닌 링크 자체에만 적용되도록 합니다.
보안 디렉터리 생성. 이 패치는 O_EXCL 로직을 도입합니다. 이제 데몬은 원자적으로 새 디렉터리를 생성하도록 보장하고 해당 경로에 파일이나 symlink가 이미 존재하는 경우 실패합니다.
취약한 애플리케이션 탐지
Sigma 룰(Linux auditd)
title: Detect Himmelblau Symlink Attack
id: 0d3d2cf5-194a-efe7-03a8-ac164aaf975b
status: experimental
description: Detects the himmelblaud-tasks daemon following a symlink to sensitive directories.
logsource:
product: linux
service: auditd
detection:
selection:
type: SYSCALL
syscall: chown
exe: /usr/sbin/himmelblaud-tasks
filter:
path: '/tmp/krb5cc_*'
condition: selection
tags:
- attack.privilege_escalation
- attack.t1068
level: highOsquery: CVE-2026-31979 - SUID/SGID 바이너리
SELECT
f.path,
f.uid AS owner_uid,
u.username
FROM file f
JOIN users u ON f.uid = u.uid
WHERE f.path LIKE '/tmp/krb5cc_%'; Akamai 고객은 Akamai Guardicore Segmentation Insight 쿼리를 활용해 환경 내에서 취약한 자산과 악용 징후를 탐지할 수 있습니다.
방어
3.1.0에 즉시 패치할 수 없는 경우 himmelblaud-tasks 서비스에 대한 덮어쓰기를 만들고 PrivateTmp=true를 추가해 systemd 샌드박싱을 수동으로 다시 활성화합니다. 이렇게 하면 사용자의 /tmp에서 데몬의 /tmp를 격리해 symlink 공격 기법을 효과적으로 차단할 수 있습니다.
요약
CVE-2026-31979는 권한이 없는 로컬 사용자와 권한이 높은 시스템 데몬 사이의 신뢰 경계가 심각하게 무너졌음을 나타냅니다. 공격자는 Himmelblau 제품군의 TOCTOU 경쟁 조건을 악용해 공유 /tmp 디렉터리를 무기화해 루트 수준 파일 작업을 탈취할 수 있습니다.
Himmelblau는 Linux와 Azure 간 통합을 위한 주요 ID 브리지 역할을 하기 때문에 이 취약점은 로컬 루트 접속 권한을 부여하는 것 이상의 역할을 합니다. 즉, 호스트와 Microsoft Entra ID의 관계 무결성을 손상시킵니다.
기업은 이 취약점을 단순한 로컬 버그가 아니라 클라우드 통합 인프라로의 측면 이동을 위한 잠재적인 통로로 간주해야 합니다.
관심 유지
태그
