Heckmeck um Sicherheitslücken mit Höchstwertung des Risikos in Ivantis Sentry: Die CISA und einige IT-Sicherheitsunternehmen warnen vor laufenden Angriffen. Ivanti wiegelt ab, es handele sich nur um Honeypots.
Während die CISA die fragliche Lücke in den „Known-Exploited-Vulnerabilities“-Katalog (KEV) aufgenommen hat, hat Ivanti mit einer Aktualisierung der eigenen Sicherheitsmitteilung reagiert. Konkret geht es um eine Schwachstelle in Sentry, durch die Angreifer aus dem Netz ohne vorherige Anmeldung Befehle ins Betriebssystem schmuggeln und damit beliebigen Code mit root-Rechten ausführen können (CVE-2026-10520, CVSS 10.0, Risiko „kritisch“). Eine zweite Sicherheitslücke ermöglicht die Umgehung der Authentifizierung – bösartige Akteure aus dem Netz können ohne vorherige Anmeldung beliebige Administratorkonten erstellen und damit vollen Admin-Zugang erlangen (CVE-2026-10523, CVSS 9.9, Risiko „kritisch“).
Betroffen ist die VPN-ähnliche Sicherheits-Gateway-Lösung in den Versionen 10.5.1, 10.6.1, 10.7.0 und älteren. Die bereitstehenden Aktualisierungen auf die Versionen 10.5.2, 10.6.2 und 10.7.1 bessern die Schwachstellen aus.
Exploit-Code öffentlich verfügbar
Die IT-Sicherheitsforscher der watchTowr Labs haben einen Proof-of-Concept-Exploit veröffentlicht, der den Missbrauch der beiden Lücken demonstriert. Auch Rapid7 schließt in einer eigenen Analyse, dass sie wüssten, dass Angreifer das Produkt wahrscheinlich angreifen werden, da in der Vergangenheit mehrere Sentry-Lücken im CISA-Katalog der missbrauchten Schwachstellen gelandet sind.
