Поставщик ИТ-программного обеспечения Ivanti устранил две уязвимости в Ivanti Sentry — устройстве безопасного мобильного шлюза, ранее известном как MobileIron Sentry. Эти недостатки могли позволить неаутентифицированным удаленным злоумышленникам получить полный контроль над развертываниями.
Одна из уязвимостей, CVE-2026-10523, обнаруженная исследователем Брайаном Ламом, позволяет злоумышленникам обойти аутентификацию и создавать произвольные административные учетные записи на устройствах. Уязвимость оценена в 9,9 балла из 10 по шкале CVSS.
Вторая уязвимость, CVE-2026-10520, представляет собой проблему внедрения команд (command injection), которая может привести к удаленному выполнению кода с правами root в базовой операционной системе. Поскольку уязвимостью можно воспользоваться удаленно без аутентификации, ей присвоен максимальный балл CVSS — 10.
Ivanti Sentry — это встроенный шлюз, который управляет трафиком, шифрует его и обеспечивает безопасность передачи данных между мобильными устройствами и корпоративными серверами бэкэнда, такими как Microsoft Exchange. Он работает совместно с Ivanti Endpoint Manager Mobile (EPMM) для обеспечения ограничений доступа и верификации устройств. Таким образом, это устройство обычно развертывается на границе корпоративной сети и доступно из интернета.
Обе уязвимости были конфиденциально сообщены через программу ответственного раскрытия информации Ivanti, и на данный момент компании неизвестно о публичном использовании этих уязвимостей. Однако злоумышленники, включая спонсируемые государствами группы кибершпионажа, уже многократно использовали уязвимости в продуктах Ivanti и устройствах на границе сети.
Кроме того, исследователи из компании безопасности watchTowr опубликовали подробный анализ CVE-2026-10520, и эксплуатация этой уязвимости тривиальна. Исследователи выпустили Python-скрипт, который позволяет организациям проверить, уязвимы ли их развертывания.
Клиентам Ivanti Sentry рекомендуется как можно скорее обновить свои развертывания до версий 10.5.2, 10.6.2 или 10.7.1.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Lucian Constantin
