A empresa de segurança ofensiva watchTowr Labs publicou hoje detalhes de uma vulnerabilidade de injeção de comandos que permite a um invasor remoto não autenticado alcançar execução remota de código (em nível root) no Ivanti Sentry. A falha, registrada como CVE-2026-10520, recebeu pontuação CVSS 10 (a mais alta possível) e afeta as versões anteriores à R10.5.2, R10.6.2 e R10.7.1 do Ivanti Sentry, antigo MobileIron Sentry, um gateway que gerencia, criptografa e protege o tráfego entre dispositivos móveis e sistemas corporativos internos, explicaram os pesquisadores.
Uma segunda vulnerabilidade (CVE-2026-10523) permite que um invasor remoto não autenticado crie contas administrativas arbitrárias e obtenha acesso administrativo total ao sistema, segundo a watchTowr, que creditou a descoberta ao pesquisador Bryan Lam. A empresa Ivanti, que em 2020 adquiriu a MobileIron e a Pulse Secure como parte de uma série de aquisições destinadas a melhorar seu portfólio de zero trust, nuvem e segurança de TI, conforme reportagem do CISO Advisor, corrigiu as falhas nas versões citadas.
Exploit permite execução arbitrária de comandos via endpoint vulnerável
A vulnerabilidade reside no endpoint /mics/api/v2/sentry/mics-config/handleMessage, que aceita uma string message fornecida pelo usuário e a passa diretamente para um método que processa comandos de configuração, detalhou a watchTowr. O valor message é analisado e dividido em tokens mapeados para variáveis como xpath, module e command. Quando o valor do command é “execute”, a execução chega ao método executeNativeCommand(), que invoca comandos do sistema via reflexão, permitindo que um atacante execute comandos arbitrários no servidor.
A equipe de pesquisa demonstrou o exploit enviando uma requisição POST com o comando uname -a, que retornou a saída do sistema operacional do servidor vulnerável. A Ivanti corrigiu a falha de duas maneiras: substituiu a entrada controlável do usuário por um comando fixo que executa /bin/cat em um caminho específico do sistema (produto DMI) e adicionou regras baseadas em regex no Apache configurado para bloquear completamente o acesso ao endpoint vulnerável, redirecionando requisições não autenticadas para a página de login.
Impacto e medidas de mitigação
Comprometer o Ivanti Sentry, no qual opera na borda da rede e media o acesso a infraestrutura sensível, dá aos invasores um caminho direto para sistemas internos, alertaram os pesquisadores. A watchTowr recomendou que as equipes de segurança atualizem para as versões corrigidas o mais rapidamente possível. A empresa também disponibilizou um “Detection Artefact Generator” para que as organizações possam determinar se seus ambientes estão vulneráveis.
