Exploração ativa da falha

Uma vulnerabilidade de severidade máxima no Ivanti Sentry está sendo explorada ativamente por atacantes que conseguem executar código com privilégios de root em gateways móveis expostos na internet. O grupo de segurança Shadowserver detectou tentativas de exploração em massa horas após a Ivanti liberar o patch, com pelo menos duas instâncias já comprometidas com backdoors instalados.

A falha, rastreada como CVE-2026-10520, é uma vulnerabilidade de injeção de comandos no sistema operacional que afeta o Ivanti Sentry — anteriormente conhecido como MobileIron Sentry. O aparelho funciona como gateway de segurança para tráfego entre sistemas corporativos e dispositivos móveis remotos. A Ivanti corrigiu o problema com as versões R10.5.2, R10.6.2 e R10.7.1, lançadas na terça-feira, dia 10 de junho.

Como o ataque funciona

A vulnerabilidade permite que um invasor não autenticado envie comandos do sistema operacional diretamente ao gateway Sentry exposto na internet. Como o Sentry opera com privilégios elevados, o atacante obtém execução de código como root — o nível máximo de acesso no sistema. Com esse controle, é possível instalar backdoors, interceptar tráfego corporativo e mover-se lateralmente para a rede interna da organização. Esse padrão de ataque é semelhante ao observado na falha crítica com CVSS 10.0 revelada anteriormente no próprio Sentry.

Uma prova de conceito pública foi divulgada, o que acelerou as tentativas de exploração. O Shadowserver identificou 19 instâncias vulneráveis em seus escaneamentos, com pelo menos 2 já backdoorizadas. A organização alertou que o número real de vítimas pode ser significativamente maior, pois muitos aparelhos Sentry não são detectados pelos escaneadores por estarem em listas de bloqueio.

Segunda falha crítica corrigida

A Ivanti também corrigiu uma segunda vulnerabilidade crítica no Sentry, rastreada como CVE-2026-10523, que permite bypass de autenticação. Ambas as falhas podem ser encadeadas: um atacante pode primeiro burlar a autenticação e depois injetar comandos para obter acesso root completo ao gateway.

CVE Tipo Severidade Versões com correção
CVE-2026-10520 Injeção de comandos OS Crítica (CVSS 10.0) R10.5.2, R10.6.2, R10.7.1
CVE-2026-10523 Bypass de autenticação Crítica R10.5.2, R10.6.2, R10.7.1

O que fazer imediatamente

Administradores que gerenciam instâncias Ivanti Sentry devem aplicar as correções imediatamente, atualizando para as versões R10.5.2, R10.6.2 ou R10.7.1. Após a atualização, é essencial revisar logs de acesso em busca de atividade suspeita anterior, verificar se backdoors foram instalados e rotacionar todas as credenciais de administrador. Instâncias que não puderam ser atualizadas devem ser isoladas da internet até que o patch seja aplicado. Outras vulnerabilidades Ivanti recentemente corrigidas foram documentadas em nosso artigo sobre falhas críticas em Fortinet, Ivanti e SAP. A CISA já adicionou vulnerabilidades Ivanti ao catálogo de falhas exploradas em 34 ocasiões anteriores.

Fontes