Агентство по кибербезопасности и защите инфраструктуры США (CISA) дополнило свой каталог Known Exploited Vulnerabilities, новым идентификатором CVE-2026-10520. Основанием послужили подтверждённые данные о том, что уязвимость уже используется злоумышленниками в реальных атаках. Речь идёт о проблеме, затрагивающей продукт Ivanti Sentry - платформу для безопасного удалённого доступа и управления мобильными устройствами.
Уязвимость CVE-2026-10520
CVE-2026-10520 представляет собой уязвимость класса OS Command Injection (внедрение команд операционной системы). Она присутствует в версиях Ivanti Sentry, выпущенных до релизов R10.5.2, R10.6.2 и R10.7.1. Согласно описанию, опубликованному в системе Common Vulnerabilities and Exposures (CVE), уязвимость позволяет удалённому неаутентифицированному пользователю выполнить произвольные команды на уровне суперпользователя (root). Иными словами, для эксплуатации не требуется ни учётных данных, ни физического доступа к устройству - достаточно сетевого подключения к уязвимому экземпляру Sentry.
Метрика CVSS версии 3.1 присвоила этой проблеме максимальный балл 10,0 - критическая степень опасности. Вектор атаки AV:N (сеть) означает, что запустить эксплуатацию можно удалённо. Сложность атаки (AC:L) низкая, привилегии не требуются (PR:N), взаимодействие с пользователем не нужно (UI:N). Результат - полная компрометация конфиденциальности, целостности и доступности (C:H/I:H/A:H), причём показатель Scope (S:C) указывает на то, что последствия выходят за пределы уязвимого компонента и могут затронуть всю связанную инфраструктуру.
Проблема относится к категории CWE-78: Improper Neutralization of Special Elements Used in an OS Command (некорректная нейтрализация специальных символов при передаче в команды операционной системы). Это классическая ошибка, при которой ввод пользователя без должной очистки попадает в строку системной команды. В случае с Ivanti Sentry злоумышленник может отправить специально сформированный запрос, в результате которого сервер выполнит произвольный код с максимальными правами.
Почему эта уязвимость заслуживает пристального внимания организаций? Ivanti Sentry часто развёртывается на границе корпоративной сети - как шлюз для удалённых сотрудников и устройств. Успешная эксплуатация CVE-2026-10520 даёт атакующему полный контроль над шлюзом. Дальнейшие сценарии включают сбор учётных данных, перехват трафика, установку программ-вымогателей (ransomware) или перемещение вглубь сети для доступа к критическим серверам и базам данных. Поскольку уязвимость уже находится в KEV-каталоге CISA, все федеральные гражданские ведомства США обязаны устранить её в установленные сроки. Однако угроза распространяется на любые организации, использующие уязвимые версии продукта.
Вендор - компания Ivanti - выпустила исправления в версиях R10.5.2, R10.6.2 и R10.7.1. В официальном бюллетене указано, что все более ранние сборки считаются уязвимыми. Эксплуатация не требует учётной записи на целевом устройстве - это делает уязвимость особенно опасной в контексте доступа из интернета. Если Ivanti Sentry доступен из глобальной сети, вероятность сканирования и атаки многократно возрастает.
Исследователи, обнаружившие проблему, не раскрывают детали техники эксплуатации, чтобы не способствовать созданию готовых инструментов атаки. Однако сам факт включения CVE в каталог CISA свидетельствует о том, что действующие вредоносные кампании уже используют эту уязвимость. Организациям следует исходить из того, что публичные PoC-эксплоиты (proof-of-concept, подтверждающие возможность атаки) могут появиться в любой момент.
На текущий момент статус исправления таков: все поддерживаемые версии Ivanti Sentry должны быть обновлены до одной из перечисленных выше. Администраторам рекомендуется немедленно проверить версию установленного продукта и, если она не соответствует требованиям, выполнить обновление. Дополнительно стоит ограничить доступ к панели управления Sentry по IP-адресам и рассмотреть возможность использования сегментации сети - это снизит ущерб в случае, если уязвимость будет использована до установки патча.
Риски для организаций, которые откладывают обновление, очевидны: полный компрометация устройства на границе сети, возможная утечка конфиденциальных данных, остановка сервисов удалённого доступа. Учитывая критический рейтинг CVSS и подтверждённую активную эксплуатацию, установка патча не терпит отлагательств. Ivanti также рекомендует проверить системы на признаки компрометации после того, как устройства будут приведены к исправной версии.
Появление CVE-2026-10520 в KEV-каталоге CISA - сигнал для всех участников рынка информационной безопасности. Уязвимости класса внедрения команд продолжают оставаться одной из самых опасных категорий, особенно когда речь идёт о продуктах на границе сети. Единственным надёжным способом защиты остаётся своевременное обновление программного обеспечения и строгий контроль входящего трафика.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2026-10520
- https://hub.ivanti.com/s/article/Security-Advisory-Ivanti-Sentry-CVE-2026-10520-CVE-2026-10523?language=en_US
- https://www.cisa.gov/news-events/alerts/2026/06/11/cisa-adds-one-known-exploited-vulnerability-catalog
