A Ivanti fechou nesta semana duas falhas críticas no seu gateway de mobilidade Sentry, e a mais grave delas — com nota máxima CVSS 10.0 — já está sob exploração ativa na internet. Em três dias, entre a divulgação da correção e o alerta oficial da CISA, atacantes invadiram e deixaram porta dos fundos em gateways corporativos expostos usando uma prova de conceito pública.
| CVE | Tipo | CVSS | Impacto prático |
|---|---|---|---|
| CVE-2026-10520 | Injeção de comando de sistema | 10.0 | Execução remota de código com privilégios máximos, sem senha |
| CVE-2026-10523 | Bypass de autenticação | 9.9 | Criação de contas administrativas por atacante remoto |
O que é o Ivanti Sentry
O Ivanti Sentry, conhecido anteriormente como MobileIron Sentry, é um gateway de segurança posicionado entre a frota de dispositivos móveis corporativos e os sistemas internos da empresa. Ele gerencia, criptografa e fiscaliza o tráfego entre celulares, tablets e recursos sensíveis como servidores Microsoft Exchange, aplicações internas e bases de dados, conforme descreve a análise técnica da Rapid7.
O componente costuma ficar acessível a partir da internet, embora seja frequentemente implantado numa sub-rede isolada para dificultar o movimento lateral de um invasor. É uma posição delicada: o Sentry decide quais dispositivos podem enxergar e-mails e sistemas internos. Quem o domina consegue expor credenciais, roubar tokens de sessão e se passar por usuários legítimos — entrando na zona de confiança da organização sem disparar alarmes. Não é a primeira vez que um aparelho de perímetro vira alvo: a mesma lógica esteve por trás do recente FortiBleed, que expôs 73 mil firewalls Fortinet numa campanha global de roubo de credenciais.
A falha que dá acesso total
Em 9 de junho de 2026, a Ivanti publicou um aviso de segurança oficial confirmando duas vulnerabilidades críticas no Sentry. A mais severa, CVE-2026-10520, é uma injeção de comando de sistema operacional com nota CVSS 10.0 — o teto absoluto da escala de severidade. A falha permite que um atacante remoto, sem qualquer credencial, execute código arbitrário com privilégios máximos de sistema (root).
O problema nasce de uma decisão de design descuidada. A empresa de pesquisa watchTowr, ao comparar as versões vulnerável e corrigida, descobriu que o Sentry expõe um endpoint de API interno — /mics/api/v2/sentry/mics-config/handleMessage — projetado para aceitar comandos de configuração. O detalhe fatal: ele aceita o comando de qualquer pessoa que consiga alcançá-lo pela internet, sem exigir autenticação prévia, como explica o relato da Help Net Security. Um único pedido HTTP malicioso é suficiente para o invasor comandar o servidor.
A segunda brecha: contas admin
A falha companheira, CVE-2026-10523 (CVSS 9.9), é um bypass de autenticação por caminho alternativo. Ela permite que um atacante remoto não autenticado crie contas administrativas arbitrárias no aparelho vulnerável e obtenha acesso administrativo completo, segundo o registro mantido pela Base Nacional de Vulnerabilidades (NVD).
Sozinha, já seria motivo de correção urgente. Em conjunto com a injeção de comando, dá ao invasor duas portas independentes para o mesmo objetivo: controle total do gateway. A eSentire, em seu comunicado de segurança, classifica o conjunto como de severidade máxima e recomenda correção imediata, fora do ciclo normal de atualizações.
Prova de conceito vira arma
Menos de 24 horas após o lançamento da correção, a consultoria watchTowr publicou uma análise técnica detalhada acompanhada de uma prova de conceito (PoC) funcional para o CVE-2026-10520. O texto, intitulado com ironia — “Mais evidências de que as palavras não significam o que pensávamos” — mostra passo a passo como a vulnerabilidade reside na classe ConfigServiceController da aplicação web do Sentry.
A exploração é trivial. Dada a natureza simples do ataque e a disponibilidade imediata de uma PoC pública, a Rapid7 advertiu que a exploração em larga escala na internet era questão de horas, não de dias. O histórico do produto reforça o temor: o Sentry já havia parado duas vezes no catálogo KEV da CISA, com as falhas CVE-2023-38035 e CVE-2020-15505, ambas alvo de atacantes. Dispositivos de perímetro sem autenticação adequada são presa fácil — caso recente é o zero-day na VPN da Check Point que dava acesso sem senha.
Shadowserver confirma invasões
Em 10 de junho, a Fundação Shadowserver relatou observar “uma grande quantidade de tentativas de exploração” do CVE-2026-10520 baseadas na PoC pública. A organização identificou 19 instâncias vulneráveis nos seus rastreios, com pelo menos duas confirmadamente invadidas e com porta dos fundos instalada.
“Todos os restantes estão provavelmente comprometidos também”, acrescentou a Shadowserver, citada pelo portal SecurityAffairs. “Embora a nossa detecção esteja subdimensionada porque várias instâncias do Sentry não são alcançáveis nos nossos rastreios, se você ainda não atualizou, está muito provavelmente comprometido.” A declaração é direta: para quem opera um Sentry exposto sem correção, a janela útil de reação já fechou.
CISA entra e dá prazo curtíssimo
Em 11 de junho de 2026, a Agência de Cibersegurança e Segurança de Infraestrutura dos Estados Unidos (CISA) adicionou o CVE-2026-10520 ao seu catálogo de Vulnerabilidades Conhecidas como Exploradas (KEV). A inclusão oficializa a evidência de exploração ativa e impõe, para órgãos federais americanos, um prazo de correção de apenas três dias — 14 de junho — segundo o registro oficial do KEV.
O catálogo KEV funciona como termômetro global de risco. Mesmo quem não responde à jurisdição americana costuma tratá-lo como prioridade zero: uma entrada ali sinaliza que atacantes reais já estão usando a falha contra alvos vivos. Desde janeiro de 2026, a CISA listou múltiplas vulnerabilidades da Ivanti sob exploração ativa, incluindo o CVE-2026-1340 (Endpoint Manager Mobile) e o CVE-2026-1603, ambos capazes de bypass de autenticação ou execução remota de código em sistemas corporativos. Na mesma semana, afiliados do ransomware Qilin exploraram um zero-day em VPN da Check Point, reforçando o padrão de ataques em camada de perímetro.
Como se proteger agora
A correção existe e é simples de aplicar. As versões afetadas e corrigidas são as seguintes:
| Versão afetada | Versão corrigida |
|---|---|
| 10.5.1 e anterior | 10.5.2 |
| 10.6.1 e anterior | 10.6.2 |
| 10.7.0 e anterior | 10.7.1 |
Equipes de segurança devem, nesta ordem:
- Atualizar imediatamente toda instância do Sentry para a versão corrigida da sua ramificação, sem esperar o ciclo normal de correções.
- Isolar e investigar aparelhos expostos à internet que ficaram sem correção por algum período — assumir comprometimento e fazer triagem forense de credenciais, tokens de sessão e contas administrativas recém-criadas.
- Restringir a exposição: o aviso da CISA nota que o uso de TLS mútuo com o EPMM ou acesso HTTPS restrito via Neurons for MDM torna as interfaces inacessíveis a atacantes externos.
- Revogar credenciais que passaram pelo gateway comprometido, por precaução — tokens e senhas trafegados por um Sentry invadido devem ser considerados potencialmente vazados.
A WatchTowr disponibilizou ainda um script de verificação para defensores confirmarem se o ambiente está vulnerável antes e depois da correção. Para produtos de perímetro como o Sentry, a lição recorrente é a mesma: qualquer interface de gestão exposta à internet é um convite ao desastre, e três dias de prazo já são luxo que poucas redes podem pagar.
Referências
- Aviso de segurança oficial da Ivanti (CVE-2026-10520 e CVE-2026-10523)
- Help Net Security — Falha crítica no Ivanti Sentry permite execução remota de código
- Rapid7 — Múltiplas vulnerabilidades críticas no Ivanti Sentry
- watchTowr Labs — Análise técnica e prova de conceito do CVE-2026-10520
- SecurityAffairs — Gateways do Ivanti Sentry comprometidos logo após o patch
- CISA — Catálogo KEV (CVE-2026-10520 adicionado em 11/06/2026)
- eSentire — Vulnerabilidades críticas no Ivanti Sentry