В Банке данных угроз безопасности информации (BDU) была зарегистрирована запись о критической уязвимости в программном комплексе Ivanti Sentry, получившая идентификатор BDU:2026-08029. Эта новость мгновенно привлекла внимание специалистов по защите информации по всему миру. Причина проста: уязвимость позволяет удаленному злоумышленнику получить полный контроль над устройством без какого-либо подтверждения прав доступа.
Детали уязвимости
Ivanti Sentry представляет собой встроенный мобильный шлюз безопасности. Он используется организациями для организации защищенного удаленного доступа сотрудников к внутренним ресурсам. Как следствие, компрометация такого шлюза ставит под угрозу всю корпоративную сеть. Уязвимость получила идентификатор CVE-2026-10520. Ее базовая оценка по шкале CVSS версии 3.1 составила максимальные десять баллов. Это означает, что промедление с устранением проблемы крайне опасно.
В чем же техническая суть проблемы? В документации производителя указано, что ошибка относится к типу CWE-78. Это означает непринятие мер по нейтрализации специальных элементов, используемых в команде операционной системы. Простыми словами, шлюз некорректно обрабатывает входящие данные. Злоумышленник может подставить в запрос специальную команду. Сервер исполняет ее так, будто она была введена администратором. При этом для эксплуатации уязвимости не нужна аутентификация. Преступник может действовать полностью удаленно, из любой точки мира.
Особую тревогу вызывает вектор атаки. Согласно данным BDU, атака может быть проведена с использованием метода инъекции. Самое главное - код выполняется с максимальными привилегиями root. Это дает злоумышленнику полную власть над системой. Он может устанавливать любые программы, изменять конфигурации и читать зашифрованные данные в оперативной памяти.
Проблема затрагивает сразу несколько линеек продукта. Уязвимыми признаны версии Ivanti Sentry до 10.5.1 включительно, до 10.6.1 и до 10.7.0. Таким образом, под ударом оказались практически все актуальные сборки шлюза. К счастью, производитель уже выпустил обновления для закрытия бреши. Ссылка на бюллетень безопасности доступна на официальном портале поддержки Ivanti.
Сложность ситуации добавляет тот факт, что, по данным реестра BDU, для этой уязвимости существует публично доступный эксплойт. Это означает, что провести атаку может не только квалифицированный хакер, но и менее опытный злоумышленник, который просто воспользуется готовым инструментом. В связи с этим организации, использующие Ivanti Sentry, должны действовать незамедлительно.
Исследователи из компании WatchTowr, которые, вероятно, первыми обнаружили проблему, опубликовали технический анализ. Они отмечают, что уязвимость относится к классу так называемых "pre-auth OS command injection". Это повторяющаяся история для продуктов Ivanti. Ранее в этом году специалисты уже находили похожие проблемы в других решениях вендора. Создается впечатление, что проблемы с фильтрацией пользовательского ввода носят системный характер для данного производителя.
Какими могут быть последствия атаки? Получив доступ к шлюзу, преступник может перенастроить правила маршрутизации. Он способен перехватывать трафик удаленных сотрудников, изменять его или перенаправлять на свои серверы. Кроме того, шлюз часто хранит данные аутентификации сессий. Их компрометация открывает путь к внутренним ресурсам предприятия. В самом худшем случае злоумышленник может закрепиться в системе (обеспечить себе постоянный доступ) и использовать шлюз как точку входа для атак на всю инфраструктуру.
В итоге можно сказать, что это одна из самых опасных уязвимостей для средств удаленного доступа за последнее время. Рекомендация для специалистов проста. Необходимо срочно провести инвентаризацию всех установленных экземпляров Ivanti Sentry. После этого требуется установить обновления до версий, не подверженных ошибке. Помимо этого, стоит временно ограничить доступ к панели управления шлюзом из внешних сетей, если это возможно. Также не лишним будет проверить журналы на предмет подозрительных команд, выполненных с высокими привилегиями. Промедление в данном случае может обернуться полной компрометацией сети и утечкой конфиденциальных данных.
Ссылки
- https://bdu.fstec.ru/vul/2026-08029
- https://www.cve.org/CVERecord?id=CVE-2026-10520
- https://hub.ivanti.com/s/article/Security-Advisory-Ivanti-Sentry-CVE-2026-10520-CVE-2026-10523
- https://labs.watchtowr.com/more-evidence-that-words-dont-mean-what-we-thought-they-meant-ivanti-sentry-pre-auth-os-command-injection-cve-2026-10520/
- https://www.bleepingcomputer.com/news/security/new-max-severity-ivanti-sentry-flaw-allows-code-execution-as-root/
