Caros leitores(a) foi identificada uma vulnerabilidade crítica no Zabbix Agent e Agent2 para Windows que permite a elevação de privilégios locais.
Classificada como CVE-2025-27237, a falha foi descoberta no modo como o agente carrega seu arquivo de configuração do OpenSSL, possibilitando que um usuário com permissões limitadas execute código com privilégios de SYSTEM.
O que é o Zabbix e por que a falha é grave?
O Zabbix é uma plataforma de monitoramento open-source amplamente utilizada para acompanhar a saúde e o desempenho de servidores, aplicações e dispositivos de rede. Seus agentes especialmente no Windows rodam com permissões elevadas para coletar métricas do sistema em tempo real.
O problema está justamente nesse nível de privilégio. O arquivo de configuração do OpenSSL, usado para comunicações seguras, é carregado a partir de um diretório acessível a usuários de baixa permissão. Isso abre espaço para que um invasor local altere o conteúdo do arquivo e insira DLLs maliciosas.
Quando o serviço do Zabbix Agent ou Agent2 é reiniciado, ele carrega o arquivo adulterado e executa o código com privilégios administrativos, entregando controle total do sistema ao invasor.
Versões afetadas e impacto
A vulnerabilidade afeta múltiplas versões do Zabbix Agent e Agent2:
- 6.0.0 até 6.0.40
- 7.0.0 até 7.0.17
- 7.2.0 até 7.2.11
- 7.4.0 até 7.4.1
O impacto é classificado como alto, com pontuação CVSS 7.3. A exploração bem-sucedida permite elevação de privilégios locais, comprometendo completamente o host.
A falha foi relatada por um pesquisador conhecido como himbeer, através do programa de recompensas da HackerOne, e confirmada pela equipe de suporte do Zabbix. O problema já foi resolvido nas atualizações mais recentes.
Como a exploração acontece
O vetor de ataque é até que relativamente simples:
- O invasor com acesso limitado ao sistema identifica o diretório de configuração do Zabbix Agent.
- Ele substitui o arquivo de configuração do OpenSSL por uma versão manipulada que referencia uma DLL maliciosa.
- Quando o serviço do Zabbix é reiniciado (manualmente ou após uma atualização), o agente carrega o arquivo adulterado.
- A DLL maliciosa é executada com privilégios de SYSTEM, o nível mais alto de acesso no Windows.
Com esse tipo de acesso, o atacante pode instalar backdoors, manipular logs, exfiltrar dados sensíveis ou tomar controle total da máquina.
Mitigação e versões corrigidas
Usuários do Zabbix Agent e Agent2 para Windows devem atualizar imediatamente para as versões que corrigem a vulnerabilidade:
- 6.0.41
- 7.0.18
- 7.2.12
- 7.4.2
Essas versões corrigem o caminho de carregamento do arquivo de configuração e bloqueiam a possibilidade de usuários não administrativos modificarem o diretório.
Após a atualização, é essencial reiniciar o serviço do Zabbix Agent ou Agent2 para aplicar completamente o patch.
Um ponto importante é que, atualmente, não há soluções alternativas conhecidas, além da aplicação direta da atualização.
Boas práticas de segurança recomendadas
- Restringir permissões locais: garanta que apenas administradores possam modificar diretórios e arquivos de configuração do Zabbix.
- Monitorar alterações de arquivos: utilize ferramentas de integridade de sistema para detectar modificações não autorizadas.
- Aplicar patches com regularidade: mantenha sempre o Zabbix atualizado, incluindo seus agentes e dependências de segurança.
- Revisar logs: analise eventos de inicialização e execução do serviço em busca de comportamentos suspeitos.
Vulnerabilidade no Zabbix Agent
Certamente a vulnerabilidade CVE-2025-27237 destaca como pequenas falhas de configuração podem abrir brechas graves em ambientes corporativos. Mesmo usuários com acesso limitado podem, em certos cenários, escalar privilégios e comprometer todo o sistema.
O lado positivo é que, a correção já está disponível, e aplicá-la imediatamente é essencial para impedir que o Zabbix uma das ferramentas mais confiáveis de monitoramento se transforme em um ponto de entrada para invasores.
