Plateforme
windows
Composant
barracuda-rmm
Corrigé dans
2025.2.2
CVE-2026-22676 describes a privilege escalation vulnerability discovered in Barracuda RMM. This flaw allows a local attacker to elevate their privileges to SYSTEM level, granting them complete control over the affected system. The vulnerability impacts Barracuda RMM versions prior to 2025.2.2 and has been resolved with the release of version 2025.2.2.
La vulnérabilité CVE-2026-22676 dans les versions de Barracuda RMM antérieures à 2025.2.2 présente une faille d'élévation de privilèges permettant à des attaquants locaux d'obtenir des privilèges de niveau SYSTEM. Cela est dû à des ACL (Listes de Contrôle d'Accès) excessives sur le répertoire C:\Windows\Automation. Les attaquants peuvent modifier le contenu d'automatisation existant ou placer des fichiers contrôlés par l'attaquant dans ce répertoire, qui sont ensuite exécutés sous le compte NT AUTHORITY\SYSTEM lors des cycles d'automatisation routiniers, réussissant généralement lors du prochain cycle d'exécution. L'exploitation réussie de cette vulnérabilité peut permettre à un attaquant de compromettre complètement le système, d'accéder à des données sensibles et d'exécuter du code malveillant avec les privilèges les plus élevés.
Cette vulnérabilité nécessite un accès local au système Barracuda RMM. Un attaquant disposant d'un accès local peut être un utilisateur interne malveillant ou un attaquant qui a déjà compromis le système par un autre vecteur. L'exploitation est relativement simple une fois l'accès local obtenu, car elle consiste simplement à placer un fichier malveillant dans le répertoire C:\Windows\Automation. L'exécution sous le compte SYSTEM donne à l'attaquant un contrôle total sur le système affecté. L'absence d'authentification ou d'autorisation pour écrire dans ce répertoire est la cause première de la vulnérabilité.
Organizations utilizing Barracuda RMM for remote monitoring and management, particularly those with legacy configurations or inadequate access controls, are at significant risk. Environments where local administrator access is not strictly controlled or where automation tasks are not regularly reviewed are especially vulnerable. Shared hosting environments utilizing Barracuda RMM also pose a heightened risk due to the potential for cross-tenant exploitation.
• windows / supply-chain:
Get-Acl "C:\Windows\Automation" | Format-List |
Get-ChildItem -Path "C:\Windows\Automation\*" -Recurse -ErrorAction SilentlyContinue |
Select-Object FullName, LastWriteTime, Length• windows / supply-chain:
Get-ScheduledTask | Where-Object {$_.TaskName -like '*Automation*'} |
Select-Object TaskName, State, LastRunTime• windows / supply-chain:
Get-WinEvent -LogName System -FilterXPath "*[System[Provider[@Name='Microsoft-Windows-PowerShell']]]" -MaxEvents 100disclosure
Statut de l'Exploit
EPSS
0.01% (percentile 2%)
CISA SSVC
Vecteur CVSS
La solution pour atténuer CVE-2026-22676 consiste à mettre à niveau Barracuda RMM vers la version 2025.2.2 ou ultérieure. Cette mise à niveau corrige la configuration de permissions incorrecte dans le répertoire C:\Windows\Automation, restreignant l'accès non autorisé. Il est recommandé d'appliquer cette mise à niveau dès que possible pour réduire le risque d'exploitation. En outre, examinez les permissions existantes sur le répertoire C:\Windows\Automation sur les systèmes qui ne peuvent pas être mis à niveau immédiatement et assurez-vous que seuls les utilisateurs et processus autorisés ont un accès en écriture. Surveillez les journaux système pour toute activité inhabituelle liée au répertoire d'automatisation.
Actualice Barracuda RMM a la versión 2025.2.2 o posterior para mitigar la vulnerabilidad. Esta actualización corrige los permisos de archivo inseguros en el directorio C:\Windows\Automation, previniendo la escalada de privilegios.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
C'est un compte système prédéfini dans Windows avec des privilèges administratifs maximums. Tout code exécuté sous ce compte a un accès total au système.
Les ACL sont les 'Listes de Contrôle d'Accès'. Elles définissent quels utilisateurs ou groupes ont quel type d'accès à un fichier ou un répertoire.
La version peut être trouvée dans l'interface d'administration de l'appareil, généralement dans la section 'À propos' ou 'Informations système'.
Examinez et restreignez les permissions sur le répertoire C:\Windows\Automation, en vous assurant que seuls les processus autorisés ont un accès en écriture. Mettez en œuvre une surveillance complète des journaux système.
Vous pouvez utiliser des outils intégrés à Windows, tels que 'icacls' dans la ligne de commande, ou des outils de gestion des permissions tiers.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.