Vulnerabilidad en Himmelblau (CVE-2025-49012)

Himmelblau es una suite de interoperabilidad para Microsoft Azure Entra ID e Intune. Las versiones de Himmelblau de la 0.9.0 a la 0.9.14 y la 1.00-alfa son vulnerables a un problema de escalada de privilegios cuando las restricciones de acceso basadas en grupos de Entra ID se configuran con nombres para mostrar de grupo en lugar de identificadores de objeto. A partir de la versión 0.9.0, Himmelblau introdujo la posibilidad de especificar nombres de grupo en la opción de configuración `pam_allow_groups`. Sin embargo, Microsoft Entra ID permite la creación de varios grupos con el mismo `displayName` mediante la API de Microsoft Graph, incluso por parte de usuarios no administradores, según la configuración del inquilino. Como resultado, un usuario podría crear un grupo personal con el mismo nombre que un grupo de acceso legítimo (p. ej., `"Allow-Linux-Login"`), agregarse a él y obtener permisos de autenticación o `sudo` de Himmelblau. Dado que las versiones afectadas de Himmelblau comparan los nombres de grupo mediante `displayName` o el inmutable `objectId`, esto permite eludir los mecanismos de control de acceso diseñados para restringir el inicio de sesión a los miembros de grupos oficiales administrados centralmente. Este problema se solucionó en la versión **0.9.15** de Himmelblau y posteriores. En estas versiones, la coincidencia de nombres de grupo en `pam_allow_groups` se ha descontinuado y eliminado, y solo se pueden especificar `objectId` (GUID) de grupo para el filtrado seguro basado en grupos. Para mitigar el problema sin actualizar, reemplace todas las entradas en `pam_allow_groups` con el objectId del grupo o grupos de Entra ID de destino o audite su inquilino para detectar grupos con nombres para mostrar duplicados mediante la API de Microsoft Graph.