Im Zentrum der aktuellen Vorfälle steht CVE-2026-10520, eine Schwachstelle mit maximalem Schweregrad in Ivanti Sentry. Das Produkt dient als Sicherheits-Gateway zwischen Back-End-Unternehmenssystemen und entfernten Mobilgeräten. Laut Ivanti beruht der Fehler auf einer OS-Befehlseinschleusung und erlaubt die Ausführung von Code mit Root-Berechtigungen auf aus dem Internet erreichbaren Systemen.

Ivanti veröffentlichte den Patch am Dienstag mit den Sentry-Versionen R10.5.2, R10.6.2 und R10.7.1. In der damals veröffentlichten Sicherheitsmitteilung erklärte das Unternehmen, ihm seien zum Zeitpunkt der Offenlegung keine Kunden bekannt, die über diese Schwachstellen angegriffen worden seien. Diese Aussage steht laut Quelltext weiterhin unverändert in der Mitteilung.

Nur einen Tag später widersprach die Lageeinschätzung von Shadowserver diesem Bild deutlich. Die Organisation berichtete, Angreifer hätten die meisten der online exponierten Sentry-Gateways bereits mit Hintertüren versehen. Shadowserver erklärte zudem, die Zahl der in eigenen Scans erkannten Instanzen sei nur sehr begrenzt, es gebe aber wahrscheinlich mehr erreichbare Systeme, weil die Suchmaschine der Organisation auf einer Reihe von Instanzen blockiert werde.

Wörtlich warnte Shadowserver, man beobachte derzeit eine große Zahl von Ausnutzungsversuchen für CVE-2026-10520 auf Basis eines öffentlich verfügbaren Proof of Concept. In den eigenen Scans sehe man 19 verwundbare Instanzen, von denen mindestens zwei bereits mit Hintertüren versehen seien; der Hinweis dazu sei von der Saudi NCA gekommen. Zugleich geht Shadowserver davon aus, dass vermutlich auch die übrigen Systeme kompromittiert wurden.

Die Organisation formulierte ihre Einschätzung noch schärfer: Weil mehrere Ivanti-Sentry-Instanzen in den eigenen Scans nicht erreichbar seien, falle die Erkennung eher niedrig aus. Wer bislang nicht gepatcht habe, sei mit hoher Wahrscheinlichkeit bereits kompromittiert. Eine aktualisierte Stellungnahme von Ivanti zu den laufenden Angriffen lag laut Quelltext zunächst nicht vor; ein Sprecher war für eine Anfrage von BleepingComputer nicht sofort erreichbar.

Dass Ivanti-Produkte immer wieder im Fokus stehen, ordnet der Quelltext mit Verweis auf frühere Fälle ein. Sicherheitslücken in den Systemen seien für Angreifer attraktiv, weil sie einen Einstieg in Unternehmensnetzwerke eröffnen und so den Diebstahl sensibler Kunden- und Unternehmensdaten ermöglichen können. Genannt werden mehrere Ivanti-Zero-Days aus den vergangenen Jahren, darunter zwei kritische Schwachstellen in Endpoint Manager Mobile (EPMM), die Ivanti im Januar behoben hatte, nachdem sie als Zero-Days gegen eine „sehr begrenzte Zahl von Kunden“ ausgenutzt worden waren.

Zuletzt hatte die US-Behörde CISA im vergangenen Monat Bundesbehörden angewiesen, Ivanti-Systeme in ihren Netzen zu patchen. Auslöser war eine Warnung des Herstellers vor einer schwerwiegenden EPMM-Lücke zur Remotecodeausführung, die in Zero-Day-Angriffen missbraucht wurde. Insgesamt hat CISA in den vergangenen Jahren 34 Schwachstellen in verschiedenen Ivanti-Produkten als aktiv ausgenutzt markiert; 12 davon wurden demnach auch bei Ransomware-Angriffen eingesetzt.