针对近日披露的Ivanti Sentry最高危漏洞(CVE-2026-10520),安全监测组织Shadowserver发布最新警告:攻击者已基于公开PoC发起大规模利用尝试,绝大多数暴露于互联网的Sentry网关实例已被植入后门。企业如未立即修补,系统极有可能已遭完全控制。
漏洞概述:未认证远程代码执行,CVSS评分10.0
该漏洞(CVE-2026-10520)为操作系统命令注入缺陷,影响Ivanti Sentry(原名MobileIron Sentry)安全网关设备。攻击者无需任何身份验证,即可通过构造恶意请求,以root权限在目标设备上执行任意命令。
Ivanti于6月6日(本周二)发布安全更新,修复版本包括:
在初始公告中,Ivanti表示“尚无证据表明该漏洞已被在野利用”。
最新态势:24小时内出现大规模攻击,多数设备已失陷
然而,Shadowserver在次日(6月7日)即报告称,已监测到大量针对CVE-2026-10520的漏洞利用尝试,相关攻击基于公开的漏洞验证代码(PoC)。其扫描数据显示,共发现19个可访问的暴露实例,其中至少2个已被确认植入后门。 Shadowserver进一步指出:
“其余未直接检测到后门的实例,大概率也已全部失陷。由于大量Ivanti Sentry实例可能已将我们的扫描IP列入黑名单,实际受影响的设备数量可能更多。如果你尚未修补,几乎可以确定已经遭到入侵。”
截至发稿时,Ivanti尚未更新其安全公告中的“未发现客户被利用”表述,也未能就Shadowserver的报告作出公开回应。BleepingComputer尝试联系Ivanti发言人,未获置评。
风险分析:网关失陷意味着内网核心入口被控
Ivanti Sentry通常部署于企业网络边界,用于保护移动设备与后端核心系统(如邮件服务器、内部数据库、企业应用)之间的通信链路。攻击者一旦获取root权限并植入后门,将能够:
- 窃取所有经过网关的敏感情报(客户数据、高管通信、内部文档)
- 横向移动,进一步渗透企业内网核心资产
- 部署勒索软件或持久化后门,实施长期间谍活动或勒索攻击
考虑到Ivanti Sentry广泛应用于政府、金融、能源、制造业等关键基础设施领域,本次漏洞的实际影响面可能极为严重。
历史背景:Ivanti产品已成攻击者重点目标
此次事件并非孤例。近年来,Ivanti旗下多款产品(特别是Endpoint Manager Mobile,EPMM)屡次成为零日漏洞的攻击目标:
- CISA已将34个Ivanti相关漏洞列入“已知被利用漏洞目录”
- 其中12个漏洞曾被用于勒索软件攻击
- 2023-2026年间,多个国家政府机构、大型企业因未及时修补Ivanti漏洞而遭遇数据泄露
上个月,CISA已紧急下令美国联邦机构限期修复另一个被用于零日攻击的Ivanti EPMM远程代码执行漏洞。
应对建议:立即检查并升级,停止等待官方更新
鉴于当前已有确凿证据表明攻击者正在大规模自动化扫描与利用该漏洞,强烈建议所有部署Ivanti Sentry的组织立即执行以下操作:
- 确认版本:登录Sentry管理界面,检查当前运行的软件版本。
- 立即升级:若版本低于R10.5.2、R10.6.2或R10.7.1,请即刻升级至对应修复版本。
- 排查失陷迹象:已确认暴露在公网但尚未修复的设备,应视为可能已被入侵。建议进行完整的安全取证,检查系统日志、异常进程、反向连接及未知账户等后门特征。
- 隔离受影响设备:在确认安全前,建议将疑似失陷的Sentry设备从生产网络隔离。
再次强调:等待官方进一步确认“是否有客户被利用”已无实际意义。攻击活动正在实时进行,未修补即意味着失陷。
资讯来源
- Shadowserver Foundation 安全预警(2026年6月7日)
- Ivanti 官方安全公告(CVE-2026-10520)
- BleepingComputer 报道:《Max severity Ivanti Sentry vulnerability now exploited in attacks》
| 
发表于 昨天 23:52
|
查看: 9|
回复: 0
