Como funciona o ataque
A Ivanti divulgou em 9 de junho de 2026 duas vulnerabilidades críticas no gateway Sentry, incluindo a CVE-2026-10520, com nota máxima CVSS 10.0, que permite execução remota de comandos como root sem autenticação. Horas após a publicação de código de prova de conceito, o Shadowserver detectou tentativas ativas de exploração em sistemas expostos na internet.
A CVE-2026-10520 é uma falha de injeção de comandos do sistema operacional (CWE-78) que afeta o Ivanti Sentry, um gateway de segurança posicionado entre dispositivos móveis externos e os sistemas internos das organizações. O problema reside em uma API interna projetada para aceitar comandos de configuração que, na prática, aceita requisições de qualquer origem — sem exigir autenticação.
Segundo pesquisadores da WatchTowr, que analisaram versões vulneráveis e corrigidas do Sentry, a falha permite que um atacante envie comandos arbitrários que são executados com privilégios de root no appliance. Isso significa controle total sobre o dispositivo, incluindo acesso a credenciais, tokens de sessão e a capacidade de se passar por usuários legítimos para acessar servidores de e-mail e aplicações internas.
Impacto combinado das falhas
A segunda vulnerabilidade, CVE-2026-10523, é um bypass de autenticação (CWE-288) com CVSS 9.9 que permite a atacantes não autenticados criar contas administrativas arbitrárias no appliance Sentry. Quando combinada com a CVE-2026-10520, um atacante pode primeiro obter acesso administrativo e então executar comandos com privilégios máximos.
| CVE | CVSS | Tipo | Impacto |
|---|---|---|---|
| CVE-2026-10520 | 10.0 | Injeção de comandos OS | RCE como root, sem autenticação |
| CVE-2026-10523 | 9.9 | Bypass de autenticação | Criação de contas admin arbitrárias |
O Shadowserver relatou ter identificado 19 instâncias vulneráveis do Ivanti Sentry em varreduras na internet, com pelo menos duas confirmadas como comprometidas com backdoors instalados. A organização alertou que as instâncias restantes provavelmente também foram comprometidas, dado o volume de tentativas de exploração registradas.
Versões afetadas e correção
As vulnerabilidades afetam todas as versões do Ivanti Sentry anteriores a 10.5.2, 10.6.2 e 10.7.1. A Ivanti lançou correções para as três ramificações de versão e orienta os clientes a aplicar os patches imediatamente, fora dos ciclos normais de atualização.
A gravidade da falha motivou a Rapid7 a emitir um alerta classificando a atualização como urgente. A empresa destaca que o vetor de ataque não autenticado, combinado com a disponibilidade pública de PoC funcional, torna a janela de exploração extremamente curta — cenário que já se confirmou com os dados do Shadowserver.
Esta não é a primeira vez que o Sentry é alvo. A Ivanti Sentry já havia sido alertada para falha crítica com CVSS 10.0, e em 2023 a CVE-2023-38035, também um bypass de autenticação, foi explorada como zero-day. Já os produtos Ivanti EPMM enfrentaram dois zero-days com exploração ativa. O padrão reforça que gateways de borda expostos à internet continuam sendo alvos privilegiados.
Como investigar e mitigar
Para organizações que executam Ivanti Sentry, a correção sozinha pode não ser suficiente se o sistema já esteve exposto. Equipes de segurança devem realizar uma investigação completa, que inclui:
- Verificar a presença de contas administrativas desconhecidas criadas recentemente no appliance
- Analizar logs de acesso em busca de requisições suspeitas à API de configuração interna
- Buscar indicadores de persistência como web shells, configurações modificadas ou processos inesperados
- Considerar o reset de credenciais e tokens de sessão de todos os serviços acessíveis via Sentry
- Restringir o acesso externo ao Sentry usando regras de firewall enquanto o patch não for aplicado
- Executar o script de detecção de vulnerabilidade disponibilizado pela WatchTowr para confirmar o status do ambiente
O pesquisador Bryan Lam é creditado pela divulgação responsável da CVE-2026-10523. A transição rápida entre divulgação e exploração ativa reforça a necessidade de processos de patching ágeis para dispositivos de borda voltados para a internet.