Como funciona o ataque

A Ivanti divulgou em 9 de junho de 2026 duas vulnerabilidades críticas no gateway Sentry, incluindo a CVE-2026-10520, com nota máxima CVSS 10.0, que permite execução remota de comandos como root sem autenticação. Horas após a publicação de código de prova de conceito, o Shadowserver detectou tentativas ativas de exploração em sistemas expostos na internet.

A CVE-2026-10520 é uma falha de injeção de comandos do sistema operacional (CWE-78) que afeta o Ivanti Sentry, um gateway de segurança posicionado entre dispositivos móveis externos e os sistemas internos das organizações. O problema reside em uma API interna projetada para aceitar comandos de configuração que, na prática, aceita requisições de qualquer origem — sem exigir autenticação.

Segundo pesquisadores da WatchTowr, que analisaram versões vulneráveis e corrigidas do Sentry, a falha permite que um atacante envie comandos arbitrários que são executados com privilégios de root no appliance. Isso significa controle total sobre o dispositivo, incluindo acesso a credenciais, tokens de sessão e a capacidade de se passar por usuários legítimos para acessar servidores de e-mail e aplicações internas.

Impacto combinado das falhas

A segunda vulnerabilidade, CVE-2026-10523, é um bypass de autenticação (CWE-288) com CVSS 9.9 que permite a atacantes não autenticados criar contas administrativas arbitrárias no appliance Sentry. Quando combinada com a CVE-2026-10520, um atacante pode primeiro obter acesso administrativo e então executar comandos com privilégios máximos.

CVE CVSS Tipo Impacto
CVE-2026-10520 10.0 Injeção de comandos OS RCE como root, sem autenticação
CVE-2026-10523 9.9 Bypass de autenticação Criação de contas admin arbitrárias

O Shadowserver relatou ter identificado 19 instâncias vulneráveis do Ivanti Sentry em varreduras na internet, com pelo menos duas confirmadas como comprometidas com backdoors instalados. A organização alertou que as instâncias restantes provavelmente também foram comprometidas, dado o volume de tentativas de exploração registradas.

Versões afetadas e correção

As vulnerabilidades afetam todas as versões do Ivanti Sentry anteriores a 10.5.2, 10.6.2 e 10.7.1. A Ivanti lançou correções para as três ramificações de versão e orienta os clientes a aplicar os patches imediatamente, fora dos ciclos normais de atualização.

A gravidade da falha motivou a Rapid7 a emitir um alerta classificando a atualização como urgente. A empresa destaca que o vetor de ataque não autenticado, combinado com a disponibilidade pública de PoC funcional, torna a janela de exploração extremamente curta — cenário que já se confirmou com os dados do Shadowserver.

Esta não é a primeira vez que o Sentry é alvo. A Ivanti Sentry já havia sido alertada para falha crítica com CVSS 10.0, e em 2023 a CVE-2023-38035, também um bypass de autenticação, foi explorada como zero-day. Já os produtos Ivanti EPMM enfrentaram dois zero-days com exploração ativa. O padrão reforça que gateways de borda expostos à internet continuam sendo alvos privilegiados.

Como investigar e mitigar

Para organizações que executam Ivanti Sentry, a correção sozinha pode não ser suficiente se o sistema já esteve exposto. Equipes de segurança devem realizar uma investigação completa, que inclui:

  • Verificar a presença de contas administrativas desconhecidas criadas recentemente no appliance
  • Analizar logs de acesso em busca de requisições suspeitas à API de configuração interna
  • Buscar indicadores de persistência como web shells, configurações modificadas ou processos inesperados
  • Considerar o reset de credenciais e tokens de sessão de todos os serviços acessíveis via Sentry
  • Restringir o acesso externo ao Sentry usando regras de firewall enquanto o patch não for aplicado
  • Executar o script de detecção de vulnerabilidade disponibilizado pela WatchTowr para confirmar o status do ambiente

O pesquisador Bryan Lam é creditado pela divulgação responsável da CVE-2026-10523. A transição rápida entre divulgação e exploração ativa reforça a necessidade de processos de patching ágeis para dispositivos de borda voltados para a internet.

Fontes e referências