Vulnerabilidade no Zabbix Agent permite escalada de privilégios

07/10/2025 mindsecblog Notícias 0

Vulnerabilidade no Zabbix Agent permite escalada de privilégios.

Uma vulnerabilidade crítica de segurança foi descoberta no Zabbix Agent e no Agent 2 para Windows que permite que invasores com acesso ao sistema local aumentem seus privilégios por meio de ataques de injeção de DLL. 

O Zabbix, uma plataforma de código aberto amplamente adotada para monitoramento de redes e infraestrutura, utiliza seus agentes com privilégios elevados para coletar dados críticos de desempenho. No entanto, em certas versões de seus agentes para Windows (tanto o Agent quanto o Agent2), o arquivo de configuração do OpenSSL é carregado a partir de um caminho que usuários sem permissões administrativas podem modificar. Essa falha de arquitetura é o cerne do ataque de escalonamento de privilégios.

A falha, rastreada como CVE-2025-27237 com uma pontuação CVSS de 7,3 (Alta), afeta várias versões da popular solução de monitoramento de rede e gerou atualizações de segurança imediatas do Zabbix.

A vulnerabilidade decorre do tratamento inadequado de arquivos de configuração OpenSSL em Ambientes Windows, onde o arquivo de configuração é carregado a partir de um caminho que pode ser modificado por usuários com poucos privilégios, permitindo essencialmente que um hacker local assuma o controle total da máquina.

Esta falha de design cria um vetor de ataque para atores maliciosos que podem injetar link dinâmico bibliotecas (DLLs) para obter privilégios de sistema elevados.

 

Escalonamento de privilégios locais do Windows do agente Zabbix

A falha de segurança reside na forma como o Zabbix Agent e o Agent 2 processam arquivos de configuração OpenSSL em sistemas Windows. 

O ataque se materializa quando um invasor, já com acesso à máquina, manipula o arquivo de configuração do OpenSSL localizado no caminho inseguro. Ao adulterar este arquivo, ele consegue injetar uma DLL maliciosa. Na próxima vez que o serviço Zabbix for reiniciado – ou o próprio sistema –, essa DLL será executada automaticamente com as permissões do serviço, ou seja, com privilégios de SYSTEM.

Quando esses agentes inicializam, eles carregam a configuração do OpenSSL a partir de um caminho de arquivo que possui controles de acesso insuficientes, permitindo que usuários com privilégios limitados modifiquem o conteúdo da configuração. 

O sucesso na exploração significa que o código malicioso ganha controle total sobre a máquina, permitindo ao hacker ignorar restrições de nível de usuário, instalar malware, acessar dados confidenciais e utilizar o computador comprometido como ponto de partida para avançar na rede corporativa. A falha recebeu uma pontuação CVSS 4.0 de 7.3, classificando-a como de alta gravidade, um reflexo do alto impacto em confidencialidade, integridade e disponibilidade:

O ataque requer acesso ao sistema local e envolve a modificação do arquivo de configuração OpenSSL para fazer referência a uma DLL maliciosa que é carregada durante o processo de inicialização ou reinicialização do sistema do agente.

A vulnerabilidade afeta uma ampla gama de versões: 6.0.0 a 6.0.40, 7.0.0 a 7.0.17, 7.2.0 a 7.2.11, e 7.4.0 a 7.4.1 do Zabbix Agent e Agent2 para Windows.

O vetor de ataque tem pré-requisitos específicos: os invasores precisam de acesso existente ao sistema Windows com o Zabbix Agent instalado, e a configuração maliciosa só entra em vigor após a reinicialização do serviço Zabbix Agent ou a reinicialização do sistema.

O pesquisador de segurança himbeer descobriu essa vulnerabilidade e a relatou por meio do HackerOne da Zabbix programa de recompensa por bugs

A técnica de injeção de DLL explora a relação de confiança entre o serviço Zabbix Agent e a biblioteca OpenSSL, permitindo que invasores executem código arbitrário com o privilégios elevados do processo do agente.

Fatores de riscoDetalhes
Produtos afetados– Agente Zabbix para Windows 6.0.0 – 6.0.40- Agente Zabbix para Windows 7.0.0 – 7.0.17- Agente Zabbix2 para Windows 7.2.0 – 7.2.11- Agente Zabbix2 para Windows 7.4.0 – 7.4.1
ImpactoEscalada de privilégios locais
Pré-requisitos de exploração– Conta de usuário local do Windows – Agente Zabbix ou Agente 2 instalado – Capacidade de modificar o caminho do arquivo de configuração OpenSSL – Serviço do agente ou reinicialização do sistema para carregar DLL maliciosa
Pontuação CVSS 3.17,8 (Alto)
 
 

CVE-2025-27237

A CVE-2025-27237 foi divulgada de forma responsável pelo pesquisador de segurança himbeer. A equipe de Suporte do Zabbix reconheceu a questão (referência interna ZBX-27061) e classificou-a como um defeito de segurança de grande importância, marcando a correção como prioritária.

As versões corrigidas que resolvem o comportamento inseguro do caminho do arquivo OpenSSL e impedem a modificação por usuários de baixo privilégio são:
  • 6.0.41
  • 7.0.18
  • 7.2.12
  • 7.4.2

Os administradores de TI e segurança são fortemente aconselhados a aplicar estas atualizações imediatamente. A urgência se deve à popularidade do Zabbix em ambientes corporativos e à implantação de seus agentes com privilégios elevados, o que os torna alvos de alto valor. Após a aplicação do patch, é imprescindível reiniciar o serviço do Zabbix Agent ou Agent2 para que a correção seja concluída. Atualmente, não há workarounds conhecidos além da aplicação da atualização oficial. 

A vulnerabilidade serve como um lembrete crítico sobre a necessidade de auditar regularmente as configurações de software, especialmente aquelas que envolvem dependências externas como o OpenSSL, e reforça a importância da segregação estrita de privilégios em qualquer ambiente.
 

Mitigações

A Zabbix lançou patches de segurança em todas as linhas de produtos afetadas para resolver essa vulnerabilidade de escalonamento de privilégios. 
As versões fixas incluem 6.0.41, 7.0.18, 7.2.12 e 7.4.2, que implementam controles de acesso adequados para Configuração OpenSSL caminhos de arquivo e validar o conteúdo da configuração antes do processamento.
Os administradores de sistema devem atualizar imediatamente suas instalações do Zabbix Agent para as versões corrigidas correspondentes. 
A empresa não forneceu soluções alternativas específicas para esta vulnerabilidade, tornando as atualizações de segurança a principal estratégia de mitigação. 
As organizações que usam a infraestrutura de monitoramento do Zabbix devem priorizar essas atualizações, principalmente em ambientes onde vários usuários têm acesso ao sistema local ou onde os agentes de monitoramento são executados com privilégios elevados.
Dada a ampla implantação de soluções de monitoramento Zabbix em ambientes corporativos, essa falha de segurança pode afetar milhares de instalações de monitoramento baseadas no Windows em todo o mundo.

Fonte: Cyber Security Brasil & Cyber Security News
 
Veja também:
 
 
About mindsecblog 3244 Articles
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.
Website Facebook Twitter YouTube LinkedIn

Related Articles

Artigos

Sophos nomeada líder no KuppingerCole Leadership Compass 2022

15/07/2022 mindsecblog Artigos, Notícias 0

Sophos nomeada líder no KuppingerCole Leadership Compass 2022 para proteção, detecção e resposta de endpoint. Sophos Intercept X é líder em todas as quatro categorias de avaliação. A entrega de resultados superiores de segurança cibernética […]

Notícias

Ataque cibernético à C&M levanta alerta sobre vulnerabilidades digitais no Brasil

08/07/2025 mindsecblog Notícias 0

Ataque cibernético à C&M levanta alerta sobre vulnerabilidades digitais no Brasil Especialistas em segurança digital, finanças e seguros analisam os riscos e soluções após o ataque à C&M, destacando a necessidade de regulamentação mais rígida, […]

Notícias

Malware Minerador Afeta Android e Sobrecarrega Aparelho

21/12/2017 mindsecblog Notícias 0

Malware usa aparelhos para minerar cryptocurrency e sobrecarrega aparelho. Devido ao recente aumento nos preços de cryptocurrency, não apenas os hackers, mas também os administradores de sites legítimos estão usando cada vez mais mineradores de […]

Be the first to comment

Deixe sua opinião!