Introduction
Ivanti Sentry, une passerelle de sécurité pour les appareils mobiles, contient une vulnérabilité critique de type injection de commande système qui permet à des attaquants distants d'exécuter du code avec des privilèges root. Cette vulnérabilité, identifiée comme CVE-2026-10520, a une gravité maximale avec un score CVSS de 10,0 et est actuellement exploitée dans la wild.
Contexte Technique
La vulnérabilité se trouve dans l'API de configuration MICS d'Ivanti Sentry, qui accepte des requêtes POST non authentifiées et passe les entrées utilisateur directement à l'exécution de commande système via la réflexion Java. Cela signifie qu'aucune authentification ni interaction utilisateur n'est nécessaire pour exploiter cette faille de sécurité. Un attaquant peut simplement envoyer une requête POST avec un paramètre spécialement conçu pour exécuter des commandes système.
Ivanti Sentry est une passerelle in-line qui gère, crypte et sécurise le trafic entre les appareils mobiles et les systèmes d'entreprise. Elle est généralement déployée dans les DMZ pour contrôler le trafic ActiveSync et prendre des décisions d'accès au niveau du dispositif pour Microsoft Exchange.
Analyse et Implications
La compromission d'Ivanti Sentry donne à un attaquant un point de pivot vers les serveurs de messagerie, les applications internes et le réseau d'entreprise plus large. La vulnérabilité est particulièrement préoccupante car elle peut être exploitée sans authentification, ce qui la rend accessible à un large éventail d'attaquants potentiels.
Il existe également une autre vulnérabilité, CVE-2026-10523, qui permet aux attaquants de créer des comptes administratifs arbitraires et d'obtenir un accès complet à l'appareil Sentry. Les deux vulnérabilités partagent les mêmes versions affectées et corrigées.
Perspective
Étant donné la disponibilité d'une preuve de concept (PoC) publique et l'exploitation active de ces vulnérabilités, il est essentiel de détecter toutes les instances d'Ivanti Sentry sur son réseau et de les corriger immédiatement. Les organisations doivent mettre à jour Ivanti Sentry vers les versions R10.5.2, R10.6.2 ou R10.7.1 pour durcir le point de terminaison vulnérable et ajouter des règles de réécriture Apache pour bloquer l'accès non authentifié.
Il est également recommandé de restreindre l'accès réseau au port 8443, d'utiliser le TLS mutual (mTLS) lorsque possible et de vérifier les indicateurs de compromission dans les journaux de Sentry. Une vérification approfondie de l'infrastructure EPMM et des services internes est également nécessaire pour détecter toute activité malveillante potentielle.
