기술 설명
Ivanti Sentry (구 MobileIron Sentry)는 /mics/api/v2/sentry/mics-config/handleMessage 엔드포인트에서 사전 인증 OS 명령 주입 취약점(CWE-78, CVSS 10.0)을 포함하고 있습니다. Spring Boot 컨트롤러는 사용자가 제공한 'message' 파라미터를 허용하고 이를 정제되지 않은 상태로 구성 처리 서비스로 전달하여 원격 인증되지 않은 공격자가 루트 권한으로 임의의 OS 명령을 실행할 수 있게 합니다. Ivanti는 6월 9일에 CVE-2026-10523(인증 우회, CVSS 9.9)과 함께 이 결함을 공개했습니다. WatchTowr는 6월 10일에 전체 기술 분석 및 PoC를 발표했습니다. Shadowserver는 PoC 공개 후 24시간 내에 활발한 악용과 2개의 백도어된 인스턴스를 관찰했습니다.
공격 경로
/mics/api/v2/sentry/mics-config/handleMessage에 대한 인증되지 않은 HTTP POST — Sentry 관리 인터페이스에 도달 가능한 인터넷의 어디서나 악용 가능합니다. 인증, 기기 지문 인식 또는 특별한 전제 조건이 필요하지 않습니다. 공격자 운영자는 Ivanti 자산 인벤토리를 사전 준비하고 PoC 가용성 시 즉시 악용을 시작했습니다.
영향받는 시스템
Ivanti Sentry 버전 10.5.1, 10.6.1, 10.7.0 및 모든 이전 버전. Sentry는 이메일, VPN 및 애플리케이션 트래픽을 위한 인라인 모바일-엔터프라이즈 게이트웨이 역할을 하며 일반적으로 인터넷에 노출되어 있습니다.
완화 방안
즉시 Ivanti Sentry R10.5.2, R10.6.2 또는 R10.7.1로 업그레이드하세요. 연방 기관은 CISA BOD 26-04에 따라 6월 14일까지 복구해야 합니다. WatchTowr는 탐지 스크립트를 발표했습니다. 패치하기 전에 BOD 26-04 지침에 따라 손상 확인을 수행하세요 — 패칭은 이미 존재하는 공격자를 제거하지 못합니다. 인터넷에서 접근 가능한 인스턴스를 우선순위로 지정하세요.