Разработчики компании Ivanti выпустили обновления безопасности для продукта Ivanti Sentry. В системе обнаружены две критические уязвимости, одна из которых получила максимальную оценку по шкале CVSS - 10 баллов из 10. Речь идет о недостатках, которые позволяют злоумышленнику удаленно выполнить вредоносный код или получить полный административный доступ к устройству. Эта новость в первую очередь касается администраторов сетей, которые используют Ivanti Sentry для управления мобильными устройствами и контроля доступа к корпоративным ресурсам.
Детали уязвимостей
Первая уязвимость зафиксирована под идентификатором CVE-2026-10520. Она представляет собой внедрение команд операционной системы (OS Command Injection). Иными словами, ошибка в обработке специальных символов позволяет неаутентифицированному (то есть не прошедшему проверку подлинности) злоумышленнику отправить на устройство вредоносную команду, которая будет выполнена с правами суперпользователя (root). Это означает полный контроль над системой. Оценка CVSS (стандартная система оценки критичности уязвимостей) для этой проблемы составляет 10.0, то есть высший уровень критичности.
Вторая уязвимость, CVE-2026-10523, имеет оценку 9.9 балла. Она связана с обходом аутентификации (Authentication Bypass). Эта ошибка позволяет удаленному злоумышленнику, также без прохождения проверки подлинности, создавать учетные записи администраторов в системе. В результате злоумышленник получает полный administrative-доступ ко всем функциям Ivanti Sentry. Обе проблемы относятся к классу ошибок, которые позволяют атакующему действовать без каких-либо ограничений со стороны сетевого уровня.
Важно отметить, что для успешной эксплуатации обеих уязвимостей необходимо одно условие. Атакующий должен иметь возможность обращаться к уязвимому устройству напрямую через интернет. Зависит это от того, как именно устройство развернуто в сети организации. Если Ivanti Sentry установлен за границами публичного доступа или защищен средствами межсетевого экранирования, риск эксплуатации снижается. Однако в конфигурациях с прямым выходом в интернет такие системы становятся практически полностью незащищенными.
По данным на дату публикации уведомления, об уязвимостях стало известно благодаря процедуре ответственного раскрытия (responsible disclosure). Иными словами, исследователи передали информацию разработчикам до того, как она стала публичной. На данный момент нет сведений об активном использовании этих уязвимостей в реальных атаках. Более того, в открытом доступе отсутствует публичный код эксплуатации (так называемый PoC, proof-of-concept). Однако эксперты Национального центра кибербезопасности Нидерландов прогнозируют, что такой код может появиться в самое ближайшее время. Это делает установку обновлений критически важной задачей для всех организаций, использующих уязвимые версии продукта.
Под удар попадают все версии Ivanti Sentry до следующих версий: 10.5.2, 10.6.2 и 10.7.1. Разработчики уже выпустили исправления, которые доступны для загрузки через официальный портал поддержки компании. Для установки обновления администраторам необходимо получить доступ к порталу и загрузить соответствующий установочный образ. Для каждой из поддерживаемых веток продукта путь к файлам выглядит одинаково: образ для новой установки и отдельный каталог для обновления уже работающего устройства.
Таким образом, речь идет о двух крайне опасных ошибках, которые позволяют получить полный контроль над системой. Отсутствие необходимости в аутентификации и возможность удаленной эксплуатации делают эти уязвимости лакомой целью для злоумышленников. Компаниям, которые используют Ivanti Sentry, следует незамедлительно обновить свои системы до исправленных версий. Промедление может привести к полной компрометации инфраструктуры управления устройствами. В текущей ситуации можно говорить о формировании тревожной тенденции. Все чаще в корпоративных продуктах обнаруживаются уязвимости критического уровня, которые не требуют от атакующего никаких привилегий. Подобные инциденты подчеркивают важность своевременного управления обновлениями безопасности и строгого контроля сетевой доступности административных интерфейсов.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2026-10520
- https://www.cve.org/CVERecord?id=CVE-2026-10523
- https://hub.ivanti.com/s/article/Security-Advisory-Ivanti-Sentry-CVE-2026-10520-CVE-2026-10523?language=en_US
