Множественные уязвимости в Zabbix Agent2: от межсайтового скриптинга до отказа в обслуживании

Восьмого апреля 2026 года стало известно о серии уязвимостей, затронувших Zabbix Agent2 - популярный агент системы мониторинга. Проблемы обнаружены в версиях 7.4.8 и 7.4.9, которые ещё не получили последних исправлений безопасности. Все перечисленные уязвимости так или иначе связаны с компонентами стандартной библиотеки и инструментария языка Go, который используется в основе агента. Специалистам по информационной безопасности стоит обратить особое внимание на этот инцидент, ведь Zabbix применяется в тысячах организаций по всему миру для контроля инфраструктуры.

Детали уязвимостей

Прежде всего, среди опубликованных записей CVE (общеизвестных уязвимостей) числится несколько критических. Например, проблемы с экранированием данных в шаблонах html/template (CVE-2026-32289 и CVE-2026-27142) могут привести к межсайтовому скриптингу (XSS). Если злоумышленник сможет внедрить вредоносный скрипт в веб-интерфейс, он получит возможность перехватывать сессии или подменять данные мониторинга. В контексте корпоративного использования Zabbix это особенно опасно, так как через интерфейс часто управляют конфигурациями и просматривают метрики.

Другая группа уязвимостей затрагивает обработку TLS-соединений (CVE-2026-32283 и CVE-2026-32282). В первой из них атакующий может отправить специальное сообщение KeyUpdate во время рукопожатия TLS 1.3, что вызывает взаимоблокировку соединения и неконтролируемое потребление ресурсов - проще говоря, отказ в обслуживании (DoS). Вторая уязвимость позволяет обойти ограничения корневой файловой системы на Linux: используя состояние гонки (TOCTOU), можно заставить операцию chmod сработать на символическую ссылку за пределами корневого каталога, что грозит повышением привилегий.

Не обошлось и без проблем с памятью. В архиваторе tar (CVE-2026-32288) обнаружена неограниченная аллокация памяти при чтении вредоносного архива, содержащего большое число разреженных областей в старом формате GNU. Аналогичная опасность ждёт пользователей формата ZIP (CVE-2025-61728) - построение индекса файлов требует суперлинейного времени и может полностью загрузить процессор. В обоих случаях достаточно открыть специально сформированный архив, и система мониторинга перестанет отвечать.

Отдельного внимания заслуживают уязвимости компилятора Go. CVE-2026-27144 и CVE-2026-27143 связаны с ошибками при компиляции: в первом случае некорректное определение непересекающихся копий массивов приводит к повреждению памяти, во втором - отсутствие проверки переполнения индуктивных переменных циклов позволяет выйти за границы массива. В результате даже безопасный на первый взгляд код на Go может содержать скрытые ошибки, которые превращаются в эксплуатабельные бреши.

Кроме того, выявлены проблемы с проверкой сертификатов. CVE-2026-32281 и CVE-2026-32280 показывают, что при построении цепочек сертификатов с большим количеством политик или промежуточных центров сертификации объём вычислений не ограничивается должным образом. Это приводит к отказу в обслуживании. Дополнительно CVE-2025-61729 описывает чрезмерное потребление ресурсов при формировании строки ошибки для проверки имени хоста - оно может расти квадратично, что также позволяет вызвать DoS.

Вредоносные файлы могут не только нарушить работу, но и позволить выполнение кода. CVE-2026-27140 сообщает, что имена файлов SWIG, содержащие слово "cgo" и хорошо продуманную полезную нагрузку, обходят доверенный слой и выполняют произвольный код во время сборки. Ещё более простая атака описана в CVE-2025-61731: директива #cgo pkg-config в исходном коде Go может быть использована для записи файла в произвольное место с частичным контролем содержимого. Это прямое окно для закрепления в системе.

Нельзя забывать и про утечки информации. CVE-2026-27139 позволяет на Unix-системах через методы ReadDir/Readdir получить объект FileInfo, ссылающийся на файл вне корневого каталога. Хотя это ограничивается чтением метаданных lstat, сам факт возможности "сбежать" из песочницы - тревожный сигнал. CVE-2025-61730 описывает утечку сведений на уровне TLS 1.3: если сообщения рукопожатия передаются в записях, пересекающих границы уровней шифрования, атакующий в локальной сети может внедрить свои сообщения и получить часть данных.

Последствия такого букета уязвимостей крайне серьёзны. Система мониторинга, как правило, имеет высокий уровень доступа внутри сети: через неё можно собирать логи, управлять конфигурациями и даже выполнять команды. Компрометация Zabbix Agent2 грозит остановкой мониторинга, потерей данных о событиях ИБ и, в худшем случае, полным захватом инфраструктуры. Особенно уязвимы организации, которые не обновляют агенты своевременно.

Что делать специалистам? Прежде всего, как можно быстрее обновить Zabbix Agent2 до версии, содержащей исправления. Производитель уже выпустил патчи, и теперь важно установить их на всех узлах. Кроме того, необходимо обратить внимание на версию Go в окружении: уязвимости закрыты в релизах 1.25.9 и 1.26.2 (для более ранних веток). Если ваша среда использует Go напрямую или через зависимые библиотеки, стоит обновить и компилятор. В дополнение рекомендуется ограничить доступ к веб-интерфейсу Zabbix по сети и усилить мониторинг аномалий в поведении агентов.

Этот инцидент ещё раз напоминает: даже зрелые продукты не застрахованы от проблем в базовых компонентах. Внимание к цепочке поставок программного обеспечения и своевременное применение патчей остаются главной защитой от подобных угроз.

Детали уязвимостей

Ссылки