Plataforma
windows
Componente
barracuda-rmm
Corrigido em
2025.2.2
CVE-2026-22676 describes a privilege escalation vulnerability discovered in Barracuda RMM. This flaw allows a local attacker to elevate their privileges to SYSTEM level, granting them complete control over the affected system. The vulnerability impacts Barracuda RMM versions prior to 2025.2.2 and has been resolved with the release of version 2025.2.2.
A vulnerabilidade CVE-2026-22676 em versões do Barracuda RMM anteriores a 2025.2.2 apresenta uma falha de escalonamento de privilégios que permite a atacantes locais obterem privilégios de nível SYSTEM. Isso ocorre devido a ACLs (Listas de Controle de Acesso) excessivamente permissivas no diretório C:\Windows\Automation. Os atacantes podem modificar o conteúdo de automação existente ou colocar arquivos controlados pelo atacante neste diretório, que são então executados sob a conta NT AUTHORITY\SYSTEM durante os ciclos de automação rotineiros, geralmente tendo sucesso no próximo ciclo de execução. A exploração bem-sucedida desta vulnerabilidade pode permitir que um atacante comprometa totalmente o sistema, acesse dados confidenciais e execute código malicioso com os privilégios mais altos.
Esta vulnerabilidade requer acesso local ao sistema Barracuda RMM. Um atacante com acesso local pode ser um usuário interno mal-intencionado ou um atacante que já comprometeu o sistema por meio de outro vetor. A exploração é relativamente direta uma vez que o acesso local é obtido, pois envolve simplesmente colocar um arquivo malicioso no diretório C:\Windows\Automation. A execução sob a conta SYSTEM fornece ao atacante controle total sobre o sistema afetado. A falta de autenticação ou autorização para gravar neste diretório é a causa raiz da vulnerabilidade.
Organizations utilizing Barracuda RMM for remote monitoring and management, particularly those with legacy configurations or inadequate access controls, are at significant risk. Environments where local administrator access is not strictly controlled or where automation tasks are not regularly reviewed are especially vulnerable. Shared hosting environments utilizing Barracuda RMM also pose a heightened risk due to the potential for cross-tenant exploitation.
• windows / supply-chain:
Get-Acl "C:\Windows\Automation" | Format-List |
Get-ChildItem -Path "C:\Windows\Automation\*" -Recurse -ErrorAction SilentlyContinue |
Select-Object FullName, LastWriteTime, Length• windows / supply-chain:
Get-ScheduledTask | Where-Object {$_.TaskName -like '*Automation*'} |
Select-Object TaskName, State, LastRunTime• windows / supply-chain:
Get-WinEvent -LogName System -FilterXPath "*[System[Provider[@Name='Microsoft-Windows-PowerShell']]]" -MaxEvents 100disclosure
Status do Exploit
EPSS
0.01% (percentil 2%)
CISA SSVC
Vetor CVSS
A solução para mitigar o CVE-2026-22676 é atualizar o Barracuda RMM para a versão 2025.2.2 ou posterior. Esta atualização corrige a configuração de permissões incorreta dentro do diretório C:\Windows\Automation, restringindo o acesso não autorizado. Recomenda-se aplicar esta atualização o mais rápido possível para reduzir o risco de exploração. Como medida adicional, revise as permissões existentes no diretório C:\Windows\Automation em sistemas que não podem ser atualizados imediatamente e garanta que apenas usuários e processos autorizados tenham acesso de gravação. Monitore os logs do sistema para qualquer atividade incomum relacionada ao diretório de automação.
Actualice Barracuda RMM a la versión 2025.2.2 o posterior para mitigar la vulnerabilidad. Esta actualización corrige los permisos de archivo inseguros en el directorio C:\Windows\Automation, previniendo la escalada de privilegios.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
É uma conta de sistema predefinida no Windows com privilégios administrativos máximos. Qualquer código executado sob esta conta tem acesso total ao sistema.
ACLs são 'Listas de Controle de Acesso'. Elas definem quais usuários ou grupos têm que tipo de acesso a um arquivo ou diretório.
A versão pode ser encontrada na interface de administração do dispositivo, geralmente na seção 'Sobre' ou 'Informações do sistema'.
Revise e restrinja as permissões no diretório C:\Windows\Automation, garantindo que apenas processos autorizados tenham acesso de gravação. Implemente um monitoramento completo dos logs do sistema.
Você pode usar ferramentas integradas do Windows, como 'icacls' na linha de comando, ou ferramentas de gerenciamento de permissões de terceiros.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.