Ivanti Senty : des vulnérabilités critiques déjà exploitées
Corrigées depuis mardi 9 juin, ces vulnérabilités s'avèrent déjà activement exploitées. Sa nature de système de bordure fait tout naturellement de Sentry une cible alléchante.
La solution de passerelle sécurisée Ivanti Sentry présente deux vulnérabilités critiques compromettant l'intégrité des infrastructure de mobilité. La première, répertoriée sous la CVE-2026-10520, est une faille d'injection de commandes au niveau du système d'exploitation. Cette vulnérabilité permet à un utilisateur distant non authentifié d'exécuter du code avec des privilèges root.
Parallèlement, la CVE-2026-10523 constitue une faille de contournement d'authentification. Ce défaut permet à des attaquants distants, sans aucune authentification préalable, de créer des comptes administratifs arbitraires. La combinaison de ces deux failles offre une surface d'attaque majeure, permettant une prise de contrôle totale du système.
Le mécanisme d'exploitation repose sur la capacité des attaquants à s'introduire dans une instance Sentry affectée pour établir une présence durable. En exploitant le contournement d'authentification, les acteurs malveillants génèrent des accès administratifs frauduleux. Une fois ces comptes créés, ils manipulent les configurations de la passerelle, dont la fonction est de sécuriser le trafic entre les systèmes d'entreprise et les appareils mobiles distants.
Une divergence apparaît entre les communications officielles d'Ivanti et les observations de terrain. Lors de la divulgation initiale, le 9 juin, le constructeur a déclaré : « nous n'avons pas connaissance de clients exploités par ces vulnérabilités au moment de la divulgation ». À l'heure de publier ces lignes, la page n'a pas encore été modifiée.
L'organisation Shadowserver a rapidement contredit cette affirmation, rapportent nos confrères de Bleeping Computer. Selon Shadowserver, les attaquants ont déjà déployé des backdoors sur la majorité des passerelles Sentry exposées sur Internet. L'organisation précise : « nous observons un grand nombre de tentatives d'exploitation de la CVE-2026-10520 basées sur le PoC public aujourd'hui. Nous voyons 19 instances vulnérables dans nos propres scans, avec au moins 2 piratées [...] Cependant, toutes les autres sont probablement compromises aussi ». Shadowserver souligne que le nombre réel d'instances compromises est probablement plus élevé, car de nombreuses passerelles pourraient être bloquées par les moteurs de recherche de scan.
Ivanti a publié des correctifs pour remédier à ces vulnérabilités dans les versions R10.5.2, R10.6.2 et R10.7.1. Ces mises à jour visent à fermer les vecteurs d'injection de commandes et de contournement d'authentification. L'intégration de ces correctifs est critique pour les organisations utilisant les solutions de gestion d'actifs informatiques d'Ivanti, utilisées par plus de 40 000 clients à travers le monde. Le déploiement de ces versions spécifiques constitue la mesure corrective directe. Le français Onyphe a intégré la détection de ces vulnérabilités à son système de gestion de la surface d'attaque exposée.