Falla en Zabbix Agent permite ejecución de DLL maliciosa con privilegios elevados en Windows

La plataforma de monitoreo de código abierto Zabbix presenta una vulnerabilidad recientemente identificada que afecta a sus agentes en sistemas Windows, permitiendo la escalada de privilegios locales mediante la manipulación del archivo de configuración de OpenSSL. Esta condición introduce un vector serio de postexplotación que puede ser aprovechado por usuarios locales con permisos limitados.

• CVE-2025-27237 – CVSS 7.3 (Alta)

Esta vulnerabilidad impacta a Zabbix Agent y Agent 2 en entornos Windows. El problema se origina porque ambos agentes cargan el archivo de configuración de OpenSSL desde una ruta que puede ser modificada por usuarios con privilegios limitados. Esto permite que un atacante local introduzca una DLL maliciosa, que será cargada con privilegios elevados al reiniciar el agente o el sistema, facilitando así una escalada de privilegios.

Aunque no puede ser explotada remotamente, representa una seria amenaza de postexplotación, ya que permite mantener persistencia o escalar privilegios tras una intrusión inicial. Zabbix ha solucionado este problema mediante actualizaciones que restringen los permisos sobre los archivos de configuración y aseguran rutas de carga no manipulables.

A continuación, se detallan las versiones afectadas, junto con las versiones en las que la vulnerabilidad ha sido corregida:

Productos / versiones afectados	Solución / parche
Zabbix Agent y Agent 2 para Windows	Actualizar a las siguientes versiones según la rama: • Zabbix 6.0 LTS: actualizar a 6.0.41 • Zabbix 7.0: actualizar a 7.0.18 • Zabbix 7.2: actualizar a 7.2.12 • Zabbix 7.4: actualizar a 7.4.2

Recomendaciones:

• Actualizar inmediatamente a la versión corregida correspondiente de Zabbix Agent o Agent 2 según la rama utilizada
• Revisar y restringir los permisos de escritura en las rutas donde se almacenan los archivos de configuración de OpenSSL
• Verificar que los usuarios locales con permisos restringidos no puedan modificar archivos dentro del directorio de instalación del agente
• Monitorizar los eventos de carga de DLL y reinicio del agente para detectar comportamientos anómalos o cargas sospechosas

Referencias:

• https://securityonline.info/cve-2025-27237-zabbix-agent-flaw-allows-local-privilege-escalation-via-openssl-dll-injection/

• https://www.tenable.com/cve/CVE-2025-27237

• https://www.cvedetails.com/cve/CVE-2025-27237

• https://www.cve.org/CVERecord?id=CVE-2025-27237