Himmelblau离线验证无效Hello PIN验证CVE-2025-53013

Himmelblau是一个专注于企业身份管理的开源项目，它提供了与微软Azure Active Directory（现为Microsoft Entra ID）集成的解决方案。

Himmelblau是对微软最新身份验证服务适配和对Linux系统更好集成，帮助企业实现单点登录（SSO）、用户身份验证和权限管理等功能。

一、基本情况

Himmelblau是适用于Microsoft Azure Entra ID和Intune的互操作性套件，特别适合需要在Linux环境中集成微软身份验证系统的企业用户。

栋科技漏洞库关注到Microsoft Azure Entra ID和Intune的套件Himmelblau版本0.9.10至0.9.16中存在漏洞，现已追踪为CVE-2025-53013。

二、漏洞分析

CVE-2025-53013漏洞是Microsoft Azure Entra ID和Intune的组件Himmelblau的受影响版本中发现的一个漏洞，该漏洞的CVSS评分为5.2。

当主机处于离线状态时，漏洞允许用户用无效的Linux Hello PIN通过Himmelblau对Linux主机进行身份验证，从而获得本地系统访问权限。

虽然用户可以通过这种方式获得系统访问权限，但由于网络中断和无法颁发令牌（由于无法解锁Hello密钥），单点登录（SSO）会失败。

该漏洞源于"acquire_token_by_hello_for_business_key"函数中的错误假设：它期望在离线状态下，对无效的Hello密钥返回TPMFail错误。

但实际情况是：前面的随机请求返回了RequestFailed错误，因此就导致了系统在未验证Hello密钥解锁的情况下错误地进入离线成功状态。

2025年04月21日发布的Himmelblau 0.9.10组件引入该漏洞，影响Himmelblau版本0.9.10至0.9.16，Rocky Linux 8（及其变种）不受影响。

无法升级用户可以通过在/etc/himmelblau/himmelblau.conf中设置enable_hello = false来禁用Hello PIN身份验证，从而可以缓解漏洞影响。

三、影响范围

0.9.10 <= himmelblau, pam-himmelblau (Linux)  <= 0.9.16

四、修复建议

himmelblau, pam-himmelblau (Linux)  >=0.9.17

五、参考链接