CISA hat US-Bundesbehörden angewiesen, ihre Ivanti-Sentry-Systeme innerhalb von drei Tagen abzusichern, nachdem die Behörde die Schwachstelle CVE-2026-10520 in ihren Known Exploited Vulnerabilities Catalog aufgenommen hat. Die Vorgabe gilt für Behörden der Federal Civilian Executive Branch und stützt sich auf die neu erlassene Binding Operational Directive 26-04.

Bei CVE-2026-10520 handelt es sich um eine Schwachstelle mit maximalem Schweregrad in Ivanti Sentry, einer Security-Gateway-Appliance des Herstellers, die früher unter dem Namen MobileIron Sentry bekannt war. Ivanti zufolge wird der Fehler durch eine OS-Command-Injection verursacht. Einen Tag bevor CISA die aktive Ausnutzung bestätigte, hatte Ivanti Patches veröffentlicht und erklärt, es gebe keine Hinweise auf Angriffe unter realen Bedingungen.

Dem widersprach kurz darauf die Internet-Sicherheitsorganisation Shadowserver. Sie berichtete am Mittwoch, Angreifer hätten bereits viele öffentlich erreichbare Sentry-Gateways mit Hintertüren versehen. Shadowserver verfolgt nach eigenen Angaben derzeit etwas mehr als 50 online erreichbare Sentry-Admin-Portale, schränkt aber ein, dass die Zahl der erkennbaren Internet-Instanzen wahrscheinlich unvollständig ist, weil manche Organisationen den Sicherheits-Scanner blockieren.

Shadowserver warnte zudem, dass nicht gepatchte Systeme mit hoher Wahrscheinlichkeit bereits kompromittiert seien. Wörtlich erklärte die Organisation, sie beobachte heute eine große Zahl von Ausnutzungsversuchen für CVE-2026-10520 auf Basis des veröffentlichten Proof of Concept. Die Erkennungsrate falle eher niedrig aus, weil mehrere Ivanti-Sentry-Instanzen in Scans nicht erreichbar seien, möglicherweise aufgrund von Sperrlisten.

Ivanti selbst hat seinen Sicherheitshinweis bislang nicht um den Hinweis ergänzt, dass CVE-2026-10520 aktiv ausgenutzt wird. Auf eine Anfrage von BleepingComputer zu weiteren Details über die laufenden Angriffe reagierte ein Sprecher des Unternehmens dem Bericht zufolge nicht.

In ihrer Warnung betonte CISA, dieser Typ von Schwachstelle sei ein häufiger Angriffsvektor für böswillige Cyberakteure und berge erhebliche Risiken für die Bundesverwaltung. Die Behörde forderte dazu auf, die einschlägigen Vorgaben der BOD 26-04 für Cloud-Dienste zu befolgen oder die Nutzung des Produkts einzustellen, falls keine Gegenmaßnahmen verfügbar sind. Zudem seien die Verantwortlichen angehalten, für jedes System dessen Internet-Exponierung zu bewerten und die Patch-Vorgaben der Richtlinie einzuhalten.

BOD 26-04 wurde am Mittwoch veröffentlicht und ersetzt die älteren Richtlinien BOD 19-02 und BOD 22-01. Sie verpflichtet US-Bundesbehörden dazu, das Patchen zu priorisieren, wenn ein System öffentlich im Internet erreichbar ist, wenn die Schwachstelle in CISA Katalog der bekannt ausgenutzten Lücken aufgenommen wurde, wenn sich die Ausnutzung für groß angelegte Angriffe automatisieren lässt und wenn ein erfolgreicher Angriff Angreifern teilweise oder vollständige Kontrolle über das Zielsystem verschafft.

CVE-2026-10520 ist die erste Schwachstelle, auf die BOD 26-04 angewendet wird. In den vergangenen Wochen hatte CISA Bundesbehörden bereits aufgefordert, weitere Sicherheitslücken innerhalb von drei Tagen zu schließen, darunter eine Zero-Day-Lücke in Check-Point-VPNs, eine unter realen Bedingungen ausgenutzte Schwachstelle mit hohem Schweregrad in Oracle WebLogic Server und eine aktiv ausgenutzte Lücke in einem cPanel-Plugin.

Über mehrere Jahre hinweg hat CISA laut Bericht 35 Schwachstellen in verschiedenen Ivanti-Produkten markiert, die in Angriffen missbraucht wurden. Zwölf davon wurden von Ransomware-Gruppen ins Visier genommen.