Kritische Sicherheitslücken in Ivanti Sentry ermöglichen vollständige Systemübernahme

In Ivantis Sicherheitslösung Sentry wurden zwei „kritische“ Sicherheitslücken entdeckt, die bereits ausgenutzt wurden. Die erste Lücke (CVE-2026-10520, CVSS 10.0) ermöglicht es Angreifern ohne Authentifizierung, über das Netzwerk beliebigen Code mit Root Rechten auszuführen. Die zweite Schwachstelle (CVE-2026-10523, CVSS 9.9) ermöglicht ebenfalls ohne Login die Umgehung der Authentifizierung und das Erstellen beliebiger Administratorkonten mit vollständigem Systemzugriff.

Betroffen sind die Versionen 10.5.1, 10.6.1, 10.7.0 sowie ältere Releases. Ivanti stellt Sicherheitsupdates in den Versionen 10.5.2, 10.6.2 und 10.7.1 bereit, die die Probleme beheben sollen.

Sicherheitsbehörden wie die CISA haben die Schwachstellen in den Katalog „Known Exploited Vulnerabilities“ aufgenommen und warnen vor laufenden Angriffen. Zusätzlich wurde öffentlich ein Proof-of-Concept-Exploit veröffentlicht. Ivanti erwähnt zunächst Angriffe auf Testsysteme (Honeypots), während Sicherheitsforscher bereits von kompromittierten Systemen und Backdoors auf verwundbaren Instanzen berichten. Es wird daher den Administratoren empfohlen, diese Updates zu installieren.