CISA nimmt Ivanti-Sentry-Lücke CVE-2026-10520 in KEV auf

Zusammenfassung

Die US-Behörde CISA hat eine kürzlich gepatchte Schwachstelle in Ivanti Sentry als ausgenutzt eingestuft und in ihren Katalog der bekannten ausgenutzten Schwachstellen aufgenommen. Betroffen ist CVE-2026-10520, eine mit 10 von 10 Punkten bewertete OS-Command-Injection-Lücke, über die sich aus der Ferne und ohne Authentifizierung beliebiger Code mit Root-Rechten ausführen lassen soll. Ivanti hatte die Patches am 10. Juni veröffentlicht und damals erklärt, keine Hinweise auf eine Ausnutzung unter realen Bedingungen zu haben. Nach Angaben des Herstellers beruhte die Aufnahme in CISA KEV auf beobachteten Ausnutzungsversuchen gegen Honeypots. Relevant ist der Fall dennoch, weil CISA Bundesbehörden angewiesen hat, die Lücke binnen drei Tagen zu beheben. Zugleich verweisen sowohl CISA als auch Ivanti darauf, dass die erfolgreiche Ausnutzung von der Bereitstellung und Konfiguration der Systeme abhängt, insbesondere davon, ob die Verwaltungsoberfläche von außen erreichbar ist.

CVE-2026-10520 betrifft Ivanti Sentry und wird als kritische Schwachstelle mit einem CVSS-Wert von 10,0 geführt. Laut Beschreibung handelt es sich um eine OS-Command-Injection, die sich aus der Ferne und ohne Authentifizierung ausnutzen lässt, um beliebigen Code mit Root-Berechtigungen auszuführen.

Ivanti stellte am 10. Juni Sicherheitsupdates für die Lücke bereit. Die Korrekturen stecken in den Versionen 10.5.2, 10.6.2 und 10.7.1 von Ivanti Sentry. Zum Zeitpunkt der Veröffentlichung der Patches erklärte das Unternehmen, es habe keine Belege für eine Ausnutzung außerhalb kontrollierter Tests oder Beobachtungen.

Am Donnerstag nahm CISA die Schwachstelle in den Known Exploited Vulnerabilities Catalog auf. Die Behörde forderte US-Bundesbehörden auf, das Problem innerhalb von drei Tagen zu beheben. Grundlage dafür ist laut Bericht die Vorgabe BOD 26-04, nach der Schwachstellen anhand ihres Risikos priorisiert gepatcht werden sollen.

CISA weist darauf hin, dass eine erfolgreiche Ausnutzung dann möglich ist, wenn sich die Sentry-Appliance in einem nicht verwalteten Zustand befindet und ihre Endpunkte von außen erreichbar sind. Weiter erklärt die Behörde, dass der Einsatz von mTLS mit EPMM oder ein beschränkter HTTPS-Zugriff über Neurons for MDM die Schnittstellen für externe Angreifer unzugänglich macht.

Ivanti hat seinen Sicherheitshinweis nach der Aufnahme in die KEV-Liste aktualisiert, betont aber, die Einstufung beruhe auf „versuchter Ausnutzung von Honeypots“. Für Kunden sei wichtig zu wissen, dass die Ausnutzung von CVE-2026-10520 Zugriff auf den Verwaltungsport 8443 erfordert. Verwaltungsoberflächen sollten laut Ivanti niemals direkt aus dem Internet erreichbar sein; Honeypots seien jedoch oft absichtlich oder aufgrund ihrer Funktionsweise so fehlkonfiguriert, dass bösartiges Verhalten erkannt werden kann.

Der Hersteller unterstreicht zudem, dass das tatsächliche Risiko trotz der maximalen CVSS-Bewertung durch Bereitstellung und Konfiguration deutlich sinken könne. In dem Hinweis, der auch im KEV-Eintrag von CISA gespiegelt wird, erläutert Ivanti, dass die betroffenen APIs bei EPMM-verwalteten Sentry-Appliances durch mTLS geschützt sind. Nicht verwaltete Sentry-Instanzen könnten zudem nicht in der Produktion eingesetzt werden, da die Verwaltung die Konfiguration für Geräteanbindung und Authentifizierung bereitstellt.

Für Sentry-Appliances, die über Neurons for MDM verwaltet werden, empfiehlt Ivanti unabhängig von der jeweiligen Bereitstellung, den Internetzugriff auf die verwundbare API einzuschränken.

CISA nimmt Ivanti-Sentry-Lücke CVE-2026-10520 in KEV auf

Ähnliche Artikel

Neueste Artikel