Một lỗ hổng bảo mật nghiêm trọng đã được phát hiện trong Zabbix Agent và Agent2 dành cho Windows, có thể cho phép kẻ tấn công cục bộ giành được quyền hệ thống cao hơn. Lỗ hổng này, được theo dõi dưới mã định danh CVE-2025-27237, xuất phát từ cách thức tác nhân tải tệp cấu hình OpenSSL của nó.

Khai thác điểm yếu này, một kẻ tấn công với quyền hạn hạn chế trên một máy chủ Windows có thể leo thang đặc quyền lên cấp độ SYSTEM. Zabbix là một giải pháp giám sát mã nguồn mở được sử dụng rộng rãi để theo dõi tình trạng và hiệu suất của các thiết bị mạng, máy chủ và ứng dụng. Các thành phần Agent và Agent2 của Zabbix thường chạy với quyền cao trên Windows để thu thập các số liệu hệ thống chi tiết và thực hiện các tác vụ quản lý.

Phân tích Lỗ hổng CVE-2025-27237 trong Zabbix Agent

Cốt lõi của lỗ hổng CVE-2025-27237 nằm ở việc cấu hình cho giao tiếp an toàn, sử dụng thư viện OpenSSL, dựa vào một tệp bên ngoài. Thông thường, các tệp cấu hình quan trọng như vậy chỉ nên được sửa đổi bởi quản trị viên hệ thống để đảm bảo tính toàn vẹn và bảo mật.

Tuy nhiên, trong các phiên bản bị ảnh hưởng của Zabbix Agent và Agent2, tệp cấu hình OpenSSL lại được tải từ một thư mục mà người dùng có đặc quyền thấp có khả năng ghi dữ liệu. Điều này tạo ra một cửa sổ khai thác cho phép kẻ tấn công can thiệp vào quá trình khởi tạo bảo mật của dịch vụ.

Các phiên bản Zabbix Agent/Agent2 dành cho Windows bị ảnh hưởng bởi lỗ hổng CVE này bao gồm:

• Từ 6.0.0 đến 6.0.40
• Từ 7.0.0 đến 7.0.17
• Từ 7.2.0 đến 7.2.11
• Từ 7.4.0 đến 7.4.1

Cơ chế Khai thác Lỗ hổng và Chiếm quyền điều khiển

Kẻ tấn công cục bộ có thể lợi dụng quyền ghi vào thư mục chứa tệp cấu hình OpenSSL để thay thế hoặc sửa đổi tệp này. Mục tiêu là chèn một thư viện liên kết động (DLL) độc hại vào quy trình tải cấu hình. Khi dịch vụ Zabbix Agent hoặc Agent2 khởi động lại, nó sẽ tải tệp cấu hình đã bị sửa đổi, và quan trọng hơn, thực thi DLL độc hại đó.

Vì dịch vụ Zabbix Agent/Agent2 chạy với đặc quyền SYSTEM trên Windows để thực hiện các chức năng giám sát sâu, mã độc trong DLL cũng sẽ được thực thi với cùng đặc quyền này. Điều này cho phép kẻ tấn công đạt được toàn quyền kiểm soát máy chủ bị ảnh hưởng, một hình thức chiếm quyền điều khiển cục bộ cực kỳ nguy hiểm.

Quá trình này về cơ bản là một kỹ thuật DLL sideloading, trong đó một ứng dụng hợp pháp tải một DLL độc hại thay vì DLL hợp pháp mong đợi, do đường dẫn tìm kiếm không an toàn hoặc quyền truy cập tệp lỏng lẻo. Với quyền SYSTEM, kẻ tấn công có thể thực hiện nhiều hành động độc hại như:

• Cài đặt phần mềm độc hại (malware) hoặc ransomware.
• Tạo tài khoản người dùng mới với đặc quyền cao.
• Thao túng hoặc xóa nhật ký hệ thống để che dấu vết.
• Truy cập, sửa đổi hoặc xóa dữ liệu nhạy cảm trên hệ thống.
• Thiết lập cơ chế duy trì (persistence) để duy trì quyền truy cập sau khi khởi động lại hệ thống.
• Sử dụng máy chủ làm bàn đạp cho các cuộc tấn công lateral movement (di chuyển ngang) trong mạng nội bộ.

Thông tin chi tiết về lỗ hổng CVE-2025-27237 có thể được tìm thấy trên Cổng thông tin Cơ sở dữ liệu Lỗ hổng Quốc gia (NVD): NVD – CVE-2025-27237.

Biện pháp Khắc phục và Triển khai Bản vá Bảo mật

Để bảo vệ hệ thống khỏi lỗ hổng CVE-2025-27237, tất cả các tổ chức và người dùng đang vận hành Zabbix Agent hoặc Agent2 trên môi trường Windows được khuyến nghị mạnh mẽ thực hiện nâng cấp ngay lập tức. Việc cập nhật lên các phiên bản đã được vá lỗi là biện pháp khắc phục duy nhất và hiệu quả nhất.

Các phiên bản Zabbix Agent/Agent2 đã sửa lỗi bao gồm:

• Zabbix Agent/Agent2 6.0.41 và các phiên bản mới hơn trong nhánh 6.0.x
• Zabbix Agent/Agent2 7.0.18 và các phiên bản mới hơn trong nhánh 7.0.x
• Zabbix Agent/Agent2 7.2.12 và các phiên bản mới hơn trong nhánh 7.2.x
• Zabbix Agent/Agent2 7.4.2 và các phiên bản mới hơn trong nhánh 7.4.x

Việc nâng cấp lên các phiên bản này sẽ khắc phục đường dẫn cấu hình không an toàn, loại bỏ khả năng các tài khoản người dùng không có đặc quyền quản trị sửa đổi các tệp cấu hình OpenSSL quan trọng. Sau khi hoàn tất quá trình cập nhật phần mềm, điều quan trọng là phải khởi động lại dịch vụ Zabbix Agent hoặc Agent2 để đảm bảo rằng bản vá bảo mật được áp dụng đầy đủ và hiệu quả.

Hiện tại, không có giải pháp tạm thời (workaround) nào được biết đến có thể giảm thiểu rủi ro của lỗ hổng CVE này ngoài việc áp dụng bản cập nhật. Việc trì hoãn triển khai các bản vá lỗi có thể khiến hệ thống tiếp tục dễ bị tấn công. Bằng cách cài đặt kịp thời các phiên bản đã sửa lỗi, các tổ chức có thể chủ động ngăn chặn kẻ tấn công khai thác điểm yếu này để chiếm quyền điều khiển hoàn toàn các máy chủ Windows được giám sát bởi Zabbix.

Lỗ hổng CVE-2025-27237 được báo cáo bởi nhà nghiên cứu himbeer thông qua chương trình săn lỗi nhận thưởng HackerOne. Đây được phân loại là một khiếm khuyết bảo mật lớn, và Đội ngũ hỗ trợ Zabbix đã xác nhận, đồng thời đánh dấu là đã sửa trong các bản vá phát hành gần đây.