- 27,497
- 46
- 8 Ноя 2022
Ivanti снова не успела предупредить клиентов о том, что их уже взламывают.
Один пропущенный день с обновлением мог превратить защитный шлюз компании в удобную точку входа для злоумышленников. Специалисты Shadowserver сообщили о массовых попытках эксплуатировать критическую уязвимость в Ivanti Sentry , которая позволяет выполнять команды с правами root на устройствах, доступных из интернета.
Проблема получила идентификатор CVE-2026-10520 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H — 10.0 Critical) и связана с внедрением команд операционной системы. Ivanti закрыла уязвимость 9 июня, выпустив версии Sentry R10.5.2, R10.6.2 и R10.7.1. На момент публикации исправлений компания заявляла , что не видит признаков атак на клиентов.
Уже на следующий день Shadowserver показал иную картину. По данным организации, злоумышленники начали использовать открытый проверочный код атаки и пытались заражать доступные в сети шлюзы Ivanti Sentry. При сканировании специалисты нашли 19 уязвимых устройств, минимум 2 из которых злоумышленники уже успели скомпрометировать. При этом Shadowserver считает, что остальные, скорее всего, тоже могли быть скомпрометированы.
Ivanti Sentry, ранее известный как MobileIron Sentry, защищает обмен данными между внутренними корпоративными системами и удалёнными мобильными устройствами. Именно поэтому успешная атака на такой шлюз особенно опасна. Устройство стоит на границе корпоративной инфраструктуры и может открыть путь к внутренним ресурсам компании.
Shadowserver отдельно предупредил, что реальное число уязвимых шлюзов может быть выше. Часть устройств недоступна для сканирования, возможно, из-за блокировки поисковых и проверочных систем. Организация прямо заявила, что владельцы необновлённых Ivanti Sentry, скорее всего, уже находятся под угрозой компрометации.
Ivanti пока не обновила своё предупреждение, где по-прежнему говорится об отсутствии известных случаев эксплуатации на момент раскрытия уязвимости.
Продукты Ivanti регулярно привлекают внимание злоумышленников, поскольку ошибки в таких системах дают шанс попасть в корпоративные сети и добраться до конфиденциальных данных. За последние годы Агентство по кибербезопасности и защите инфраструктуры США внесло 34 уязвимости в разных продуктах Ivanti в каталог активно используемых ошибок. В 12 случаях такие уязвимости также применялись в атаках с программами-вымогателями .
Владельцам Ivanti Sentry рекомендуют срочно установить версии R10.5.2, R10.6.2 или R10.7.1, а также проверить устройства на признаки взлома. Простое обновление после того, как злоумышленники начали массово эксплуатировать уязвимость, может уже не решить проблему – если они успели закрепиться в системе.
Один пропущенный день с обновлением мог превратить защитный шлюз компании в удобную точку входа для злоумышленников. Специалисты Shadowserver сообщили о массовых попытках эксплуатировать критическую уязвимость в Ivanti Sentry , которая позволяет выполнять команды с правами root на устройствах, доступных из интернета.
Проблема получила идентификатор CVE-2026-10520 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H — 10.0 Critical) и связана с внедрением команд операционной системы. Ivanti закрыла уязвимость 9 июня, выпустив версии Sentry R10.5.2, R10.6.2 и R10.7.1. На момент публикации исправлений компания заявляла , что не видит признаков атак на клиентов.
Уже на следующий день Shadowserver показал иную картину. По данным организации, злоумышленники начали использовать открытый проверочный код атаки и пытались заражать доступные в сети шлюзы Ivanti Sentry. При сканировании специалисты нашли 19 уязвимых устройств, минимум 2 из которых злоумышленники уже успели скомпрометировать. При этом Shadowserver считает, что остальные, скорее всего, тоже могли быть скомпрометированы.
Ivanti Sentry, ранее известный как MobileIron Sentry, защищает обмен данными между внутренними корпоративными системами и удалёнными мобильными устройствами. Именно поэтому успешная атака на такой шлюз особенно опасна. Устройство стоит на границе корпоративной инфраструктуры и может открыть путь к внутренним ресурсам компании.
Shadowserver отдельно предупредил, что реальное число уязвимых шлюзов может быть выше. Часть устройств недоступна для сканирования, возможно, из-за блокировки поисковых и проверочных систем. Организация прямо заявила, что владельцы необновлённых Ivanti Sentry, скорее всего, уже находятся под угрозой компрометации.
Ivanti пока не обновила своё предупреждение, где по-прежнему говорится об отсутствии известных случаев эксплуатации на момент раскрытия уязвимости.
Продукты Ivanti регулярно привлекают внимание злоумышленников, поскольку ошибки в таких системах дают шанс попасть в корпоративные сети и добраться до конфиденциальных данных. За последние годы Агентство по кибербезопасности и защите инфраструктуры США внесло 34 уязвимости в разных продуктах Ivanti в каталог активно используемых ошибок. В 12 случаях такие уязвимости также применялись в атаках с программами-вымогателями .
Владельцам Ivanti Sentry рекомендуют срочно установить версии R10.5.2, R10.6.2 или R10.7.1, а также проверить устройства на признаки взлома. Простое обновление после того, как злоумышленники начали массово эксплуатировать уязвимость, может уже не решить проблему – если они успели закрепиться в системе.
- Источник новости
- www.securitylab.ru
