Ранливост со максимална сериозност во Ivanti Sentry сега се експлоатира во напади

Напаѓачите сега таргетираат неодамна закрпена ранливост со максимална сериозност во Ivanti Sentry, која им овозможува да извршуваат код со root привилегии на интернет-достапни безбедни мобилни порти (secure mobile gateways).

Порано познат како MobileIron Sentry, Ivanti Sentry е безбедносен gateway уред кој го обезбедува сообраќајот помеѓу корпоративните системи во позадина и оддалечените мобилни уреди.

Ранливоста, означена како CVE-2026-10520, има максимална оценка за сериозност и произлегува од слабост за вметнување оперативни команди (OS command injection). Таа беше закрпена од Ivanti во вторникот со објавувањето на верзиите Sentry R10.5.2, R10.6.2 и R10.7.1.

Иако компанијата тогаш соопшти дека нема докази за злоупотреба на ранливоста во реални напади, непрофитната безбедносна организација Shadowserver Foundation следниот ден објави дека напаѓачите веќе инсталирале задни врати (backdoors) на поголемиот дел од Sentry gateway уредите изложени на интернет.

Организацијата додаде дека нивните скенирања откриваат само многу ограничен број јавно достапни Sentry инстанци, но дека реалниот број веројатно е поголем бидејќи нивниот пребарувач е блокиран од дел од системите.

„Денес забележуваме голем број обиди за експлоатација на Ivanti Sentry CVE-2026-10520 врз основа на јавно достапниот PoC. Во нашите скенирања гледаме 19 ранливи инстанци, од кои најмалку 2 веќе имаат инсталирани задни врати (благодарност до Saudi NCA за информацијата!). Сепак, најверојатно и сите останати се компромитирани“, предупреди Shadowserver.

„Нашата детекција е ограничена бидејќи до повеќе Ivanti Sentry инстанци не можеме да пристапиме при скенирањето (можеби поради блокирање на нашите системи). Ако сè уште не сте ја инсталирале закрпата, многу е веројатно дека вашиот систем е веќе компромитиран.“

Ivanti сè уште нема ажурирано безбедносното известување објавено во вторникот, во кое и понатаму стои дека „во моментот на објавување не сме запознаени со клиенти кои биле експлоатирани преку овие ранливости“.

Претставник на Ivanti не бил веднаш достапен за коментар кога BleepingComputer денес побарал дополнителни информации за тековните напади.

Хакерите често ги таргетираат безбедносните пропусти во производите на Ivanti бидејќи тие претставуваат влезна точка во корпоративните мрежи на жртвите, овозможувајќи кражба на чувствителни податоци на клиенти и компании.

На пример, во последните неколку години повеќе zero-day ранливости во производите на Ivanti биле искористени за компромитирање на широк спектар цели, вклучувајќи владини агенции ширум светот. Меѓу нив биле и две критични ранливости во Endpoint Manager Mobile, кои Ivanti ги коригираше во јануари откако биле злоупотребени како zero-day пропусти против „многу ограничен број клиенти“.

Неодамна, Cybersecurity and Infrastructure Security Agency им нареди на федералните агенции на United States минатиот месец да ги закрпат Ivanti системите во своите мрежи, откако компанијата ги предупреди клиентите за сериозна ранливост за далечинско извршување код (Remote Code Execution – RCE) во EPMM која била злоупотребувана во zero-day напади.

Во текот на последните неколку години, CISA означи вкупно 34 ранливости во различни производи на Ivanti како активно експлоатирани во реални напади, при што 12 од нив биле искористени и во ransomware напади.

Извори:

• Bleeping Computer – Max severity Ivanti Sentry vulnerability now exploited in attacks Bleeping Computer