Ivanti Sentry: Verwirrung um Status von kritischem Befehlsschmuggel-Leck

Heckmeck um Sicherheitslücken mit Höchstwertung des Risikos in Ivantis Sentry: Die CISA und einige IT-Sicherheitsunternehmen warnen vor laufenden Angriffen. Ivanti wiegelt ab, es handele sich nur um Honeypots.

Während die CISA die fragliche Lücke in den „Known-Exploited-Vulnerabilities“-Katalog (KEV) aufgenommen hat, hat Ivanti mit einer Aktualisierung der eigenen Sicherheitsmitteilung reagiert. Konkret geht es um eine Schwachstelle in Sentry, durch die Angreifer aus dem Netz ohne vorherige Anmeldung Befehle ins Betriebssystem schmuggeln und damit beliebigen Code mit root-Rechten ausführen können (CVE-2026-10520, CVSS 10.0, Risiko „kritisch“). Eine zweite Sicherheitslücke ermöglicht die Umgehung der Authentifizierung – bösartige Akteure aus dem Netz können ohne vorherige Anmeldung beliebige Administratorkonten erstellen und damit vollen Admin-Zugang erlangen (CVE-2026-10523, CVSS 9.9, Risiko „kritisch“).

Betroffen ist die VPN-ähnliche Sicherheits-Gateway-Lösung in den Versionen 10.5.1, 10.6.1, 10.7.0 und älteren. Die bereitstehenden Aktualisierungen auf die Versionen 10.5.2, 10.6.2 und 10.7.1 bessern die Schwachstellen aus.

Exploit-Code öffentlich verfügbar

Die IT-Sicherheitsforscher der watchTowr Labs haben einen Proof-of-Concept-Exploit veröffentlicht, der den Missbrauch der beiden Lücken demonstriert. Auch Rapid7 schließt in einer eigenen Analyse, dass sie wüssten, dass Angreifer das Produkt wahrscheinlich angreifen werden, da in der Vergangenheit mehrere Sentry-Lücken im CISA-Katalog der missbrauchten Schwachstellen gelandet sind.

Ivanti hat auf die Angriffsmeldungen reagiert. In der Sicherheitsmitteilung steht noch immer, dass Ivanti von keinen Missbrauchsfällen vor der Veröffentlichung der Meldung wüsste. Es gebe keinen öffentlichen Missbrauch der Schwachstelle, weshalb das Unternehmen auch keine Hinweise auf erfolgreiche Angriffe (Indicators of Compromise, IOC) geben könne. Die CISA habe die Lücke in den KEV aufgenommen, da es Berichte über Angriffsversuche auf Honeypots gebe. Zur Einschätzung sei wichtig zu wissen, dass der Missbrauch der Lücke CVE-2026-10520 Zugriff auf den Managementport 8443 benötige. Und Management-Interfaces sollten ohnehin niemals im Internet zugänglich sein, auch wenn Honeypots derartige Fehlkonfigurationen simulieren, um bösartiges Verhalten zu erkennen.

Die Einschätzung dürfte aber bereits überholt sein. Die Shadowserver Foundation teilt auf X mit, dass ihre Scans 19 verwundbare Instanzen entdeckt habe, von denen mindestens zwei bereits mit Backdoors kompromittiert seien. Die IT-Forscher gehen davon aus, dass die anderen Instanzen inzwischen ebenfalls Angreifern zum Opfer gefallen sind.

Admins sollten sich von der Beschwichtigung nicht abhalten lassen, die verfügbaren Updates schnellstmöglich zu installieren.

Am Donnerstag wurden weitere Sicherheitslücken in Ivantis Endpoint Manager Mobile bekannt. Sie gelten als hohes Risiko, Admins sollten auch hier rasch die Aktualisierungen anwenden.

(dmk)