Ivanti schließt zwei kritische Sentry-Lücken, darunter Root-Remote-Code-Ausführung

Zusammenfassung

Ivanti hat Sicherheitsupdates für seine Secure-Mobile-Gateway-Lösung Sentry veröffentlicht und damit zwei kritische Schwachstellen geschlossen. Eine der Lücken, geführt als CVE-2026-10520, erreicht die höchste Schwere und ermöglicht laut Hersteller die Ausführung von Code aus der Ferne mit Root-Rechten. Die zweite Schwachstelle, CVE-2026-10523, ist ein kritischer Authentifizierungs-Bypass, der sich remote und ohne Anmeldung ausnutzen lässt, um unautorisierte Administratorkonten anzulegen und vollständigen administrativen Zugriff zu erlangen. Sentry, früher als MobileIron Sentry bekannt, dient als Security-Gateway-Appliance zum Schutz des Datenverkehrs zwischen internen Unternehmenssystemen und entfernten Mobilgeräten. Gepatcht wurden die Probleme mit den Versionen R10.5.2, R10.6.2 und R10.7.1. Ivanti erklärte zugleich, es gebe bislang keine Hinweise auf eine Ausnutzung der beiden Schwachstellen in freier Wildbahn.

Nach Angaben von Ivanti geht CVE-2026-10520 auf eine Schwachstelle zur Einschleusung von Betriebssystembefehlen zurück. Die Lücke erlaubt es entfernten Angreifern, Code mit Root-Berechtigungen auszuführen. Bei der zweiten am selben Tag behobenen Schwachstelle, CVE-2026-10523, handelt es sich laut Ivanti um einen kritischen Authentifizierungs-Bypass. Er kann remote von nicht authentifizierten Angreifern ausgenutzt werden, um manipulierte Administratorkonten zu erstellen und die vollständige administrative Kontrolle zu übernehmen.

Die Korrekturen hat das Unternehmen am Dienstag mit den Sentry-Versionen R10.5.2, R10.6.2 und R10.7.1 ausgeliefert. Administratoren sollten ihre Systeme aktualisieren, um sich gegen mögliche Angriffe zu schützen. Gleichzeitig betonte Ivanti, derzeit keine Anzeichen für aktive Ausnutzung zu haben.

Wörtlich erklärte der Hersteller, man habe zum Zeitpunkt der Offenlegung keine Kenntnis von Kunden, die über diese Schwachstellen angegriffen worden seien. Außerdem gebe es derzeit keine bekannte öffentliche Ausnutzung dieser Schwachstelle, aus der sich eine Liste von Kompromittierungsindikatoren ableiten ließe.

Sentry, früher MobileIron Sentry, ist eine Security-Gateway-Appliance, die den Datenverkehr zwischen Backend-Unternehmenssystemen und entfernten Mobilgeräten absichert. Damit betrifft die Aktualisierung eine Komponente, die an einer zentralen Schnittstelle zwischen mobilen Endgeräten und internen Systemen sitzt.

Der Bericht ordnet die neuen Patches in eine längere Serie von Ivanti-Sicherheitsfällen ein. In den vergangenen Jahren standen Schwachstellen des Unternehmens wiederholt im Fokus von Angriffen, weil sie Angreifern einen vergleichsweise einfachen Weg in Unternehmensnetzwerke eröffnen und so den Diebstahl sensibler Unternehmens- und Kundendaten ermöglichen können.

Zuletzt hatte die Cybersecurity and Infrastructure Security Agency, kurz CISA, im Mai US-Bundesbehörden angewiesen, ihre Ivanti-Geräte zu patchen. Zuvor hatte Ivanti Kunden aufgefordert, eine Schwachstelle hoher Schwere zur Remotecodeausführung in Endpoint Manager Mobile (EPMM) umgehend zu schließen, nachdem diese in Zero-Day-Angriffen ausgenutzt worden war.

Auch weitere Ivanti-Zero-Days wurden in den vergangenen Jahren bei Angriffen gegen sehr unterschiedliche Ziele eingesetzt, darunter Behörden weltweit. Der Quelltext verweist zudem auf zwei weitere kritische EPMM-Schwachstellen, die Ivanti im Januar behoben hatte, nachdem sie als Zero-Days bei Angriffen auf eine „sehr begrenzte Zahl von Kunden“ ausgenutzt worden waren.

Außerdem heißt es, CISA habe über mehrere Jahre hinweg insgesamt 34 Schwachstellen in verschiedenen SolarWinds-Produkten als aktiv ausgenutzt markiert, davon 12 auch in Ransomware-Angriffen. Ivanti selbst gibt an, dass seine Lösungen für IT-Asset-Management von mehr als 40.000 Kunden weltweit genutzt werden und von mehr als 7.000 Partnern sowie über 3.000 Mitarbeitern unterstützt werden.

Ivanti schließt zwei kritische Sentry-Lücken, darunter Root-Remote-Code-Ausführung

Ähnliche Artikel

Neueste Artikel