Himmelblau w wersjach od 3.0.0 do 3.1.0 (wyłącznie) nie ogranicza uwierzytelniania do skonfigurowanego tenanta, jeśli domena tenanta nie została zdefiniowana w pliku himmelblau.conf. Stanowi to poważne zagrożenie w środowiskach z uwierzytelnianiem zdalnym, ponieważ atakujący może uwierzytelnić się przy użyciu dowolnej domeny Entra ID.
▸ Pokaż oryginał (EN)
Himmelblau is an interoperability suite for Microsoft Azure Entra ID and Intune. From 3.0.0 to before 3.1.0, if Himmelblau is deployed without a configured tenant domain in himmelblau.conf, authentication is not tenant-scoped. In this mode, Himmelblau can accept authentication attempts for arbitrary Entra ID domains by dynamically registering providers at runtime. This behavior is intended for initial/local bootstrap scenarios, but it can create risk in remote authentication environments. This vulnerability is fixed in 3.1.0.
Gdy w konfiguracji himmelblau.conf nie zostanie podana domena tenanta, Himmelblau przechodzi w tryb ogólny, w którym dynamicznie rejestruje providerów uwierzytelniania w trakcie działania systemu. W tym trybie system akceptuje próby uwierzytelniania dla dowolnych domen Microsoft Entra ID, bez weryfikacji, czy dana domena należy do oczekiwanego tenanta organizacji. Zachowanie to zostało zaprojektowane wyłącznie na potrzeby wstępnej konfiguracji i scenariuszy lokalnych (bootstrap), jednak pozostawione aktywne w środowisku produkcyjnym staje się podatnością.
Atakujący z dostępem sieciowym do systemu może uwierzytelnić się przy użyciu konta z dowolnej domeny Microsoft Entra ID, potencjalnie uzyskując nieautoryzowany dostęp do zasobów systemu. Przy maksymalnym wyniku CVSS 10.0 (wpływ na poufność, integralność i dostępność oraz zmieniony zakres) konsekwencje mogą obejmować pełne przejęcie kontroli nad systemem.
Należy zaktualizować Himmelblau do wersji 3.1.0 lub nowszej. Dodatkowo należy upewnić się, że w pliku himmelblau.conf jest poprawnie skonfigurowana domena tenanta, co ogranicza uwierzytelnianie wyłącznie do właściwego tenanta Entra ID.
Himmelblau w wersjach od 3.0.0 do 3.1.0 (wyłącznie), wdrożony bez skonfigurowanej domeny tenanta w pliku himmelblau.conf.
Podatność dotyczy wyłącznie instalacji, w których nie skonfigurowano domeny tenanta w himmelblau.conf. Tryb bez ograniczenia tenanta był celowo zaprojektowany do scenariuszy bootstrap, co może utrudnić wykrycie niewłaściwej konfiguracji. Szczegóły dostępne w repozytorium GitHub projektu.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:HHimmelblau Idm Himmelblau
APPHimmelblau-Idm< 3.1.0
Powiązane podatności
Himmelblau is an interoperability suite for Microsoft Azure Entra ID and Intune. Prior to 3.1.0 and 2.3.8, the...
Himmelblau is an interoperability suite for Microsoft Azure Entra ID and Intune. In versions 0.8.0 through 0.9...
Himmelblau is an interoperability suite for Microsoft Azure Entra ID and Intune. From versions 2.0.0-alpha to ...