技術的な説明
Ivanti Sentry(旧称 MobileIron Sentry)は、/mics/api/v2/sentry/mics-config/handleMessage エンドポイントに認証前のOSコマンドインジェクション脆弱性(CWE-78、CVSS 10.0)を含んでいます。Spring Bootコントローラーはユーザー提供の「message」パラメータを受け入れ、サニタイズされないままそれを設定処理サービスに渡し、リモート認証なし攻撃者がroot権限で任意のOSコマンドを実行することを可能にします。Ivanti は6月9日に CVE-2026-10523(認証回避、CVSS 9.9)とともにこの脆弱性を公開しました。WatchTowr は6月10日に完全な技術分析とPoC を公開しました。Shadowserver は PoC リリースから24時間以内に積極的な悪用と2つのバックドア化されたインスタンスを観測しました。
攻撃経路
/mics/api/v2/sentry/mics-config/handleMessage への認証なしHTTP POST — Sentry 管理インターフェースに到達可能な場所であればインターネットからの悪用が可能です。認証、デバイスフィンガープリント、または特別な前提条件は不要です。攻撃者オペレーターは Ivanti アセットインベントリを事前にステージングしており、PoC 利用可能直後にエクスプロイトを実行しました。
影響を受けるシステム
Ivanti Sentry バージョン 10.5.1、10.6.1、10.7.0 および全ての以前のバージョン。Sentry はメール、VPN、およびアプリケーショントラフィック用のインラインモバイル・エンタープライズゲートウェイとして機能し、通常インターネット向けです。
緩和策
直ちに Ivanti Sentry R10.5.2、R10.6.2、または R10.7.1 にアップグレードしてください。連邦機関は CISA BOD 26-04 に従い6月14日までに修復する必要があります。WatchTowr は検出スクリプトをリリースしています。パッチ適用前に、BOD 26-04 ガイダンスに従って侵害チェックを実施してください — パッチ適用は既に存在する攻撃者を排除しません。インターネットからアクセス可能なインスタンスを優先してください。