Ivanti hat mit CVE-2026-10520 eine schwerwiegende Schwachstelle in seinem Produkt Sentry offengelegt. Die Lücke betrifft nach Herstellerangaben Versionen vor R10.5.2, R10.6.2 und R10.7.1. Es handelt sich um eine OS-Command-Injection, über die ein nicht authentifizierter Angreifer aus der Ferne Code mit Root-Rechten ausführen kann.
Parallel veröffentlichte Ivanti auch CVE-2026-10523, eine Authentifizierungsumgehung mit einem CVSS-Wert von 9,9. In seinem Sicherheitshinweis erklärte der Hersteller zunächst, ihm seien für keine der beiden Lücken aktive Ausnutzungen bekannt. Für CVE-2026-10520 änderte sich diese Lage jedoch offenbar sehr schnell.
WatchTowr veröffentlichte gestern eine technische Analyse der Schwachstelle zusammen mit einem Proof of Concept. Rapid7 warnte in einem Blogeintrag am selben Tag, die Lücke lasse sich leicht für Angriffe nutzbar machen, und forderte betroffene Organisationen zu sofortigem Handeln auf. Die Forscher von Rapid7 schrieben, angesichts der trivialen Ausnutzbarkeit und der Verfügbarkeit eines öffentlichen Proof of Concept sei damit zu rechnen, dass Ausnutzung in freier Wildbahn beginne.
Genau das beobachteten kurz darauf mehrere Stellen. Die Shadowserver Foundation teilte auf Mastodon mit, sie habe noch am selben Tag „eine große Menge an Ausnutzungsversuchen gegen Ivanti Sentry CVE-2026-10520 auf Basis des öffentlichen Proof of Concept“ gesehen. Shadowserver identifizierte 19 verwundbare Instanzen, von denen mindestens zwei mit einer Hintertür versehen waren.
Zugleich schränkte die Stiftung ein, dass ihre Erkennung eher auf der niedrigen Seite liege, weil mehrere Ivanti-Sentry-Instanzen in ihren Scans nicht erreichbar gewesen seien, möglicherweise wegen Sperrlisten. Ihre Einschätzung fiel dennoch deutlich aus: Wer noch nicht gepatcht habe, sei höchstwahrscheinlich bereits kompromittiert.
Auch Defused registrierte in seinen Scans Ausnutzungsaktivität. Simo Kohonen, Gründer und CEO von Defused, sagte Dark Reading, die Angriffe seien nach Veröffentlichung des WatchTowr-Proof-of-Concepts „praktisch ohne Unterbrechung aktiv“ gewesen. Auffällig sei zudem gewesen, dass Angreifer den Exploit direkt gegen die Ivanti-Honeypots des Unternehmens gerichtet hätten, ohne vorheriges Fingerprinting oder ähnliche Vorarbeit.
Für Kohonen deutet das darauf hin, dass die zuerst handelnden Akteure die Ivanti-Systemlandschaft bereits im Vorfeld kartiert hatten und unmittelbar reagieren konnten, sobald Informationen zur Schwachstelle und zum Exploit öffentlich wurden.
Ivanti Sentry, früher unter dem Namen MobileIron Sentry bekannt, gehört zur Unified-Endpoint-Management-Plattform des Herstellers. Die Appliance arbeitet als Inline-Gateway für mobile Geräte zu Unternehmenssystemen und baut bedarfsabhängige, anwendungsspezifische VPN-Verbindungen etwa für E-Mail-Dienste auf, um Datenverkehr abzusichern und Daten zu verschlüsseln.
SOCRadar zufolge kann Root-Zugriff auf eine Sentry-Instanz über CVE-2026-10520 Angreifern die Kontrolle über Konfigurationen, gespeicherte Zugangsdaten und angebundene Authentifizierungs- oder Verzeichnisverbindungen verschaffen. Das Forschungsteam von SOCRadar schrieb, Ivanti Sentry sitze in Unternehmensumgebungen oft an einer sensiblen Stelle als Kontrollpunkt für mobilen und gerätebezogenen Zugriff. Diese Platzierung könne die nachgelagerten Auswirkungen eines erfolgreichen Angriffs verstärken.
Neben dem Auslesen von Konfigurationen, Zugangsdaten und weiteren Geheimnissen könnten Angreifer laut SOCRadar Zugriffsanforderungen verändern, Sicherheitskontrollen abschwächen und sich je nach Position der Appliance seitlich in der Umgebung bewegen. Die aktuellen Angriffe reihen sich in eine Serie von Bedrohungen für Ivanti-Kunden ein. Produkte des Herstellers seien in den vergangenen Jahren stark von Cyberkriminellen und staatlichen Akteuren ins Visier genommen worden. Zuletzt war im April die kritische Lücke CVE-2026-1340 in Ivanti Endpoint Manager Mobile breit ausgenutzt worden.