В компонентах Zabbix Agent и Agent 2 для операционных систем Windows обнаружена серьёзная уязвимость, позволяющая злоумышленнику с ограниченными правами доступа повысить свои привилегии до уровня SYSTEM. Проблема, получившая идентификатор CVE-2025-27237, связана с некорректной загрузкой конфигурационного файла OpenSSL и затрагивает все популярные версии этого решения для мониторинга информационных систем.
Детали уязвимости
Zabbix представляет собой открытое программное обеспечение для мониторинга, широко используемое для отслеживания состояния сетевых устройств, серверов и приложений. Агенты Zabbix работают с повышенными привилегиями в среде Windows для сбора детальной системной информации, что делает их привлекательной мишенью для кибератак.
Уязвимость существует в версиях 6.0.0-6.0.40, 7.0.0-7.0.17, 7.2.0-7.2.11 и 7.4.0-7.4.1. Проблема заключается в небезопасном пути загрузки конфигурационного файла OpenSSL, который должен быть доступен только администраторам системы. Однако в уязвимых версиях этот файл размещается в каталоге, где могут производить запись пользователи с ограниченными правами.
Механизм эксплуатации уязвимости позволяет локальному злоумышленнику заменить или модифицировать конфигурационный файл для внедрения вредоносной DLL-библиотеки. При последующем перезапуске службы Zabbix Agent или Agent 2 загружается скомпрометированная конфигурация и выполняется код злоумышленника с правами SYSTEM, что предоставляет полный контроль над целевым хостом. Оценка по шкале CVSS 4.0 составляет 7.3 балла, что соответствует высокому уровню опасности.
Исследователь, известный под псевдонимом himbeer, сообщил об уязвимости через программу bug bounty на платформе HackerOne. Специалисты службы поддержки Zabbix подтвердили наличие дефекта безопасности и классифицировали его как существенную угрозу. В ответ были выпущены исправленные версии программного обеспечения, полностью устраняющие проблему.
Для защиты от потенциальных атак настоятельно рекомендуется немедленно обновить Zabbix Agent и Agent 2 до версий 6.0.41, 7.0.18, 7.2.12 или 7.4.2 в зависимости от используемой ветки продукта. Обновление изменяет путь загрузки конфигурационного файла, лишая непривилегированных пользователей возможности модифицировать критические системные файлы.
После установки исправлений необходимо перезапустить соответствующие службы мониторинга для применения изменений. Альтернативные методы защиты отсутствуют - обновление является единственным эффективным способом устранения уязвимости. Своевременная установка патчей позволяет организациям предотвратить потенциальные атаки, направленные на получение полного контроля над системами мониторинга.
Особую важность быстрого реагирования подчеркивает широкое распространение Zabbix в корпоративных сетях и критической инфраструктуре. Получение прав SYSTEM на хостах с агентом мониторинга может стать отправной точкой для распространения атаки по всей сети организации, включая доступ к конфиденциальным данным и системам управления.
Данный инцидент в очередной раз демонстрирует важность регулярного обновления программного обеспечения, особенно компонентов, работающих с повышенными привилегиями. Организациям рекомендуется включить системы мониторинга в программы регулярного обслуживания и своевременно применять выпущенные производителем исправления безопасности.
