Auf den Punkt: Die Sentry-Lücken CVE-2026-10523 und CVE-2026-10520 ermöglichen unauthentifizierten Angreifern Authentifizierungsumgehung sowie Remote Code Execution mit Root-Rechten und erfordern sofortige Patching auf Versionen 10.5.2, 10.6.2 oder 10.7.1.
Ivanti hat zwei Sicherheitslücken in der Mobile-Gateway-Appliance Sentry behoben, die es unauthentifizierten Angreifern ermöglichen, vollständige Kontrolle über Deployments zu erlangen. Beide Lücken lassen sich aus der Ferne ohne Authentifizierung ausnutzen.
Die erste Schwachstelle, CVE-2026-10523 (CVSS 9,9), wurde von Forscher Bryan Lam entdeckt und ermöglicht Angreifern, die Authentifizierung zu umgehen und willkürliche Admin-Konten auf den Appliances zu erstellen. Die zweite Lücke, CVE-2026-10520, ist ein Command-Injection-Bug, der zu Remote Code Execution mit Root-Privilegien auf dem zugrunde liegenden Betriebssystem führt und mit der maximalen CVSS-Bewertung von 10 bewertet wird.
Ivanti Sentry fungiert als In-Line-Gateway zwischen mobilen Geräten und Backend-Enterprise-Servern wie Microsoft Exchange und wird typischerweise am Netzwerkperimeter deployiert – damit ist die Appliance aus dem Internet erreichbar. Eine Übernahme hätte unmittelbare Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit des gesamten mobilen Zugriffs und der Daten zwischen Clients und Enterprise-Infrastruktur.
Beide Lücken wurden vertraulich über Ivanits Disclosure-Programm gemeldet. Bislang sind keine öffentlich ausgenutzten Angriffe dokumentiert. Allerdings haben Sicherheitsforscher der Firma watchTowr bereits eine detaillierte Analyse von CVE-2026-10520 veröffentlicht und ein Python-Skript bereitgestellt, mit dem Organisationen ihre Deployments auf Anfälligkeit testen können. Ein einfaches Ausnutzen der Lücke ist damit möglich, was das Risiko erhöht.
CISOs sollten die Patches auf den Versionen 10.5.2, 10.6.2 oder 10.7.1 so schnell wie möglich einspielen. Angesichts der Historik von Ivanti-Produkten und deren Exposition im Internet-Edge – wo auch staatliche Cyberespionage-Gruppen bereits aktiv waren – sollte dies priorität werden.
Quelle: www.csoonline.com · Erschienen 10. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.6.5.