Resumo
A Ivanti corrigiu duas vulnerabilidades críticas no gateway de segurança Sentry, incluindo uma falha de injeção de comandos com nota CVSS 10.0 que permite execução remota de código com privilégios de root. O patch foi lançado nesta terça-feira, 10 de junho de 2026, após pesquisa da WatchTowr revelar detalhes técnicos da falha.
As duas vulnerabilidades — CVE-2026-10520 (CVSS 10.0) e CVE-2026-10523 (CVSS 9.9) — permitem que atacantes remotos sem autenticação tomem controle total de dispositivos Ivanti Sentry, um gateway de segurança usado por empresas para proteger o acesso de dispositivos móveis a sistemas internos.
Como funciona a falha
A vulnerabilidade CVE-2026-10520 decorre de uma falha de injeção de comandos no sistema operacional do Sentry. Pesquisadores da WatchTowr descobriram que o appliance possui uma API projetada para aceitar comandos internos de configuração — mas essa API aceita requisições de qualquer origem, sem exigir autenticação. Um atacante que consiga alcançar o Sentry pela internet pode enviar comandos arbitrários e executá-los com privilégios máximos de root.
A segunda falha, CVE-2026-10523, é um bypass de autenticação que permite a atacantes remotos criar contas administrativas falsas no dispositivo. Com acesso de administrador, o atacante pode reconfigurar o gateway, interceptar tráfego e se mover lateralmente pela rede corporativa.
| CVE | Tipo | CVSS | Impacto |
|---|---|---|---|
| CVE-2026-10520 | Injeção de comandos OS | 10.0 | RCE com privilégios root |
| CVE-2026-10523 | Bypass de autenticação | 9.9 | Criação de contas admin falsas |
Versões afetadas e patches
As falhas afetam o Ivanti Sentry nas versões 10.5.1, 10.6.1, 10.7.0 e anteriores. A Ivanti lançou correções nas versões 10.5.2, 10.6.2 e 10.7.1. A empresa afirmou não ter evidências de exploração ativa no momento da divulgação, mas alertou que detalhes técnicos já foram publicados pela WatchTowr, o que eleva o risco de criação de exploits funcionais.
A WatchTowr disponibilizou um script de verificação que permite aos administradores testar se seus ambientes estão vulneráveis antes de aplicar o patch. A ferramenta está disponível no repositório oficial dos pesquisadores.
Impacto da exploração
O Ivanti Sentry atua como gateway entre dispositivos móveis externos e sistemas internos das empresas — servidores de e-mail, aplicativos corporativos e redes internas. Embora seja frequentemente implantado em sub-redes isoladas, a comprometimento do Sentry permite que atacantes exponham credenciais, tokens de sessão e se passem por usuários legítimos, ganhando acesso a aplicativos e servidores de e-mail.
Historicamente, vulnerabilidades da Ivanti são alvos frequentes de atacantes. A CISA ordenou em maio que agências federais corrigissem falhas no Endpoint Manager Mobile (EPMM) após exploração como zero-day. Em janeiro, dois CVEs críticos no EPMM foram explorados contra um número limitado de clientes. A vulnerabilidade CVE-2023-38035, outra falha de bypass no Sentry, foi explorada como zero-day em 2023. Outras vulnerabilidades críticas da Ivanti foram corrigidas recentemente junto com falhas em Fortinet e SAP.
O que fazer agora
- Atualize imediatamente para Sentry 10.5.2, 10.6.2 ou 10.7.1, dependendo da versão instalada
- Execute o script da WatchTowr para verificar se o ambiente está vulnerável antes e depois da atualização
- Restrinja o acesso ao Sentry — se possível, bloqueie a exposição do appliance à internet e limite o acesso a IPs internos confiáveis
- Monitore logs do Sentry em busca de atividades suspeitas, como criação de contas administrativas não autorizadas ou comandos de configuração incomuns
- Revise sessões ativas e tokens de autenticação após o patch, pois credenciais podem ter sido comprometidas antes da correção