IBM Backup サービスの脆弱性 CVE-2025-33108 が FIX:悪意のコード実行の可能性

IBM Backup Services Vulnerability Let Attackers Escalate Privileges

2025/06/16 CyberSecurityNews — IBM i プラットフォーム向けの Backup Recovery and Media Services に、深刻なセキュリティ脆弱性が発見された。この脆弱性の悪用に成功した攻撃者は、昇格した権限を取得し、ホスト OS へのコンポーネント・レベルのアクセス権限を介して、悪意のコード実行の可能性を手にする。この脆弱性 CVE-2025-33108 は、BRMS プログラムによる不適切なライブラリ呼び出しに起因し、CVSS スコアは 8.5 であり、深刻度が高いことを示している。

このセキュリティ上の欠陥は、IBM i バージョン 7.5/7.4 に影響を及ぼすため、これらのシステムを実行している組織には、権限昇格攻撃の脅威にさらされる可能性が生じる。

2025年6月13日に公開された IBM のセキュリティ情報によると、コンパイル/プログラム復元の権限を持つユーザーが、この脆弱性を悪用すると、ユーザー制御のコード実行を通じたシステム悪用の可能性が生じるという。

IBM バックアップ・サービスにおける権限昇格

この脆弱性は、不要な権限による実行 (CWE-250) に分類され、BRMS アーキテクチャー内の不適切なライブラリ呼び出しを引き起こすとされる。

CVSS ベクター (CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:H) に示されているように、攻撃区分はネットワーク/攻撃の複雑さは High/権限は Low/ユーザー操作は不要となる。

この脆弱性の悪用に成功した攻撃者は、昇格したシステム権限でユーザーが制御するコードを実行し、影響を受けるシステムの機密性/整合性/可用性を侵害する可能性を手にする。

この CVSS ベクターのスコープ変更インジケーターは、脆弱なコンポーネント以外のリソースにも、この脆弱性が影響を及ぼす可能性があることを示唆している。

この脆弱性の技術的な性質は、BRMS プログラムが適切な権限なしに、ライブラリ呼び出しを行う方法にある。それにより、意図しない高い権限で、攻撃者が実行する悪意のコードが、挿入される機会が生み出される。

この種の脆弱性は、バックアップ/リカバリ・システムが、広範なシステム・アクセスを持つことが多い、エンタープライズ環境では特に懸念される。

その悪用に成功した攻撃者は、重要なビジネス・データやシステム機能への、広範なアクセス権限を得る可能性がある。

Risk FactorsDetails
Affected ProductsIBM Backup, Recovery and Media Services for i (BRMS) versions 7.5 and 7.4
ImpactPrivilege escalation
Exploit Prerequisites– User capabilities to compile or restore a program- Network access (AV:N) and low privileges (PR:L)
CVSS 3.1 Score8.5 (High)
緩和策

IBM は Program Temporary Fixes (PTFs) をリリースし、影響を受けるバージョン全体で、この脆弱性に対処している。

IBM i リリース 7.5 を実行している組織は PTF SJ05907 を、また、リリース 7.4 を実行している組織は PTF SJ05906 を、インストールする必要がある。どちらの修正パッケージも、IBM のサポート・ポータルおよび Fix Central から入手できる。

これらのパッチが修正するのは、5770-BR1 製品コードに特化した権限昇格を可能にする、無資格でのライブラリ呼び出しの問題である。

なお、IBM の公表内容によると、この脆弱性に対する回避策や緩和策は存在しないため、セキュリティ・パッチの適用が唯一の解決策とのことだ。

バックアップ・システムに対するネットワーク・アクセスが可能な環境や、複数のユーザーがコンパイル/リストア権限を持っている環境では、提供されている PTF の、優先的な適用が強く推奨される。

IBM i のバックアップ・サービスに存在する、脆弱性について詳しく解説している記事です。ライブラリ呼び出しの設計ミスが、権限昇格につながり、悪意のコード実行に至るとのことです。ご利用のチームは、ご注意ください。よろしければ、IBM で検索も、ご参照ください。