プラットフォーム
windows
コンポーネント
barracuda-rmm
修正版
2025.2.2
CVE-2026-22676 describes a privilege escalation vulnerability discovered in Barracuda RMM. This flaw allows a local attacker to elevate their privileges to SYSTEM level, granting them complete control over the affected system. The vulnerability impacts Barracuda RMM versions prior to 2025.2.2 and has been resolved with the release of version 2025.2.2.
Barracuda RMMの2025.2.2以前のバージョンにおけるCVE-2026-22676は、特権昇格の脆弱性を引き起こし、ローカル攻撃者がSYSTEMレベルの特権を取得することを可能にします。これは、C:\Windows\AutomationディレクトリのファイルシステムACL(アクセス制御リスト)が過度に許可されているために発生します。攻撃者は既存の自動化コンテンツを修正したり、このディレクトリに攻撃者制御のファイルを配置したりできます。これらのファイルは、通常、次の実行サイクルでルーチンな自動化サイクル中にNT AUTHORITY\SYSTEMアカウントで実行されます。この脆弱性の悪用が成功すると、攻撃者はシステム全体を完全に侵害し、機密データにアクセスし、最高レベルの特権で悪意のあるコードを実行できる可能性があります。
この脆弱性は、Barracuda RMMシステムへのローカルアクセスが必要です。ローカルアクセスを持つ攻撃者は、悪意のある内部関係者または別のベクトルを通じてすでにシステムを侵害している攻撃者である可能性があります。ローカルアクセスを取得すると、悪意のあるファイルをC:\Windows\Automationディレクトリに配置するだけで、悪用は比較的簡単です。SYSTEMアカウントでの実行により、攻撃者は影響を受けるシステム全体を制御できるようになります。このディレクトリへの書き込みのための認証または承認がないことが、この脆弱性の根本原因です。
Organizations utilizing Barracuda RMM for remote monitoring and management, particularly those with legacy configurations or inadequate access controls, are at significant risk. Environments where local administrator access is not strictly controlled or where automation tasks are not regularly reviewed are especially vulnerable. Shared hosting environments utilizing Barracuda RMM also pose a heightened risk due to the potential for cross-tenant exploitation.
• windows / supply-chain:
Get-Acl "C:\Windows\Automation" | Format-List |
Get-ChildItem -Path "C:\Windows\Automation\*" -Recurse -ErrorAction SilentlyContinue |
Select-Object FullName, LastWriteTime, Length• windows / supply-chain:
Get-ScheduledTask | Where-Object {$_.TaskName -like '*Automation*'} |
Select-Object TaskName, State, LastRunTime• windows / supply-chain:
Get-WinEvent -LogName System -FilterXPath "*[System[Provider[@Name='Microsoft-Windows-PowerShell']]]" -MaxEvents 100disclosure
エクスプロイト状況
EPSS
0.01% (2% パーセンタイル)
CISA SSVC
CVE-2026-22676を軽減するための解決策は、Barracuda RMMをバージョン2025.2.2以降にアップグレードすることです。このアップデートは、C:\Windows\Automationディレクトリ内の誤った権限構成を修正し、不正アクセスを制限します。悪用リスクを軽減するために、できるだけ早くこのアップデートを適用することをお勧めします。追加の対策として、すぐにアップグレードできないシステムでは、C:\Windows\Automationディレクトリの既存の権限を確認し、承認されたユーザーとプロセスのみが書き込みアクセス権を持っていることを確認してください。自動化ディレクトリに関連する異常なアクティビティについてシステムログを監視してください。
Actualice Barracuda RMM a la versión 2025.2.2 o posterior para mitigar la vulnerabilidad. Esta actualización corrige los permisos de archivo inseguros en el directorio C:\Windows\Automation, previniendo la escalada de privilegios.
脆弱性分析と重要アラートをメールでお届けします。
これはWindowsの定義済みのシステムアカウントであり、最大の管理者権限を持っています。このアカウントで実行されるコードはすべてシステムへのフルアクセス権を持っています。
ACLは「アクセス制御リスト」です。ファイルまたはディレクトリへのユーザーまたはグループの種類を定義します。
バージョンは、デバイスの管理インターフェースに表示されます。通常、「概要」または「システム情報」セクションにあります。
C:\Windows\Automationディレクトリの権限を確認し、制限します。承認されたプロセスのみが書き込みアクセス権を持っていることを確認してください。システムログの徹底的な監視を実装してください。
コマンドラインの「icacls」などの組み込みのWindowsツールを使用するか、サードパーティの権限管理ツールを使用できます。
CVSS ベクトル