技术说明
Ivanti Sentry(原名MobileIron Sentry)在/mics/api/v2/sentry/mics-config/handleMessage端点中包含一个认证前OS命令注入漏洞(CWE-78,CVSS 10.0)。Spring Boot控制器接受用户提供的"message"参数并将其不经过滤地传递给配置处理服务,允许远程未认证攻击者以root权限执行任意OS命令。Ivanti于6月9日披露了该漏洞,同时披露了CVE-2026-10523(身份验证绕过,CVSS 9.9)。WatchTowr于6月10日发布了完整的技术分析和PoC。Shadowserver在PoC发布后24小时内观测到主动利用和两个被植入后门的实例。
攻击途径
未认证的HTTP POST请求到/mics/api/v2/sentry/mics-config/handleMessage — 在任何Sentry管理界面可从互联网访问的地方均可利用。无需认证、设备指纹识别或特殊前置条件。攻击者已预先暂存Ivanti资产清单,并在PoC可用时立即发起了利用。
受影响系统
Ivanti Sentry版本10.5.1、10.6.1、10.7.0及所有更早版本。Sentry充当电子邮件、VPN和应用流量的内联移动到企业网关,通常面向互联网。
缓解措施
立即升级到Ivanti Sentry R10.5.2、R10.6.2或R10.7.1。联邦机构必须根据CISA BOD 26-04在6月14日前进行补救。WatchTowr已发布了检测脚本。在打补丁之前,根据BOD 26-04指导进行泄露检查 — 打补丁不会清除已存在的攻击者。优先处理可从互联网访问的实例。