Auf den Punkt: Die OS-Command-Injection-Lücke CVE-2026-10520 in Ivanti Sentry wird von Angreifern aktiv ausgenutzt; CISA ordnet ein Patching innerhalb von 72 Stunden für Bundesbehörden an.
Die US-Behörde CISA verpflichtet Bundesbehörden unter der neuen Richtlinie BOD 26-04, eine kritische Schwachstelle in Ivanti Sentry innerhalb von drei Tagen zu schließen. Angreifer nutzen die Lücke bereits aktiv aus und installieren Hintertüren auf Internet-erreichbaren Gateways.
Die Schwachstelle CVE-2026-10520 betrifft das Sicherheits-Gateway Ivanti Sentry (früher MobileIron Sentry) und wird als OS-Command-Injection klassifiziert. Sie ermöglicht es entfernten Angreifern, unberechtigte Betriebssystembefehle einzuschleusen und auszuführen. CISA stuft das Risiko als maximal schwerwiegend ein und hat die Lücke unmittelbar in den offiziellen Katalog aktiv ausgenutzter Schwachstellen (KEV-Katalog) aufgenommen.
Ivanti veröffentlichte am Mittwoch ein Sicherheits-Patch und erklärte anfänglich, dass keine Hinweise auf praktische Ausnutzung vorlägen. Kurz darauf meldete der IT-Sicherheitsdienst Shadowserver jedoch, dass Angreifer bereits Hintertüren auf zahlreichen Internet-erreichbaren Administrationsportalen installiert hätten. Nach Veröffentlichung eines funktionsfähigen Konzept-Exploits im Internet beobachteten Experten eine hohe Anzahl von Angriffsversuchen. Shadowserver warnte eindeutig: „Wenn Sie jetzt nicht gepatcht haben, sind Sie höchstwahrscheinlich kompromittiert.“ Die tatsächliche Zahl gefährdeter Systeme dürfte höher liegen, da viele Organisationen IP-Adressen von Sicherheits-Scannern blockieren.
Die neue Richtlinie BOD 26-04 ersetzt ältere CISA-Sicherheitsvorgaben und setzt eine Reaktionsfrist von 72 Stunden. Sie greift, wenn folgende Bedingungen erfüllt sind: Das System ist direkt über das Internet erreichbar, die Schwachstelle ist im KEV-Katalog gelistet, ein Angriff kann automatisiert in großem Maßstab erfolgen, und eine erfolgreiche Ausnutzung ermöglicht vollständige Kontrolle über das Zielsystem. CVE-2026-10520 ist der erste offizielle Fall, auf den BOD 26-04 angewendet wird.
CISA hat in den vergangenen Jahren 35 Schwachstellen in verschiedenen Ivanti-Produkten registriert, die bei Cyberangriffen missbraucht wurden. Zwölf dieser Fälle wurden durch Ransomware-Gruppierungen ausgenutzt.
Quelle: www.it-daily.net · Erschienen 15. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.7.1.