Penjelasan teknis
Ivanti Sentry (sebelumnya MobileIron Sentry) berisi kerentanan OS command injection pra-autentikasi (CWE-78, CVSS 10.0) di endpoint /mics/api/v2/sentry/mics-config/handleMessage. Kontroler Spring Boot menerima parameter 'message' yang disediakan pengguna dan meneruskannya tanpa sanitasi ke layanan penanganan konfigurasi, memungkinkan penyerang jarak jauh yang tidak terauthentikasi untuk mengeksekusi perintah OS arbitrer dengan hak istimewa root. Ivanti mengungkapkan kerentanan tersebut pada 9 Juni bersama dengan CVE-2026-10523 (bypass autentikasi, CVSS 9.9). WatchTowr menerbitkan analisis teknis lengkap dan PoC pada 10 Juni. Shadowserver mengamati eksploitasi aktif dan dua instans yang dirusak backdoor dalam 24 jam setelah rilis PoC.
Vektor serangan
HTTP POST yang tidak terauthentikasi ke /mics/api/v2/sentry/mics-config/handleMessage — dapat dieksploitasi dari internet di mana pun antarmuka manajemen Sentry dapat diakses. Tidak ada autentikasi, fingerprinting perangkat, atau prasyarat khusus yang diperlukan. Operator penyerang telah mempersiapkan inventaris aset Ivanti dengan tahap awal dan meluncurkan eksploit segera saat ketersediaan PoC.
Sistem yang terdampak
Versi Ivanti Sentry 10.5.1, 10.6.1, 10.7.0 dan semua versi sebelumnya. Sentry berfungsi sebagai gateway seluler-ke-enterprise inline untuk lalu lintas email, VPN, dan aplikasi dan biasanya menghadap internet.
Mitigasi
Tingkatkan ke Ivanti Sentry R10.5.2, R10.6.2, atau R10.7.1 segera. Agensi federal harus mengatasi kerentanan pada 14 Juni sesuai CISA BOD 26-04. WatchTowr telah merilis skrip deteksi. Sebelum menambal, lakukan pemeriksaan kompromi sesuai panduan BOD 26-04 — penambal tidak akan mengusir penyerang yang sudah ada. Prioritaskan instans yang dapat diakses dari internet.