漏洞概述 CVE-2026-10520: Ivanti Sentry 未授权操作系统命令注入 Ivanti Sentry(前身为MobileIron Sentry)包含一个预认证操作系统命令注入漏洞,允许远程攻击者执行根级代码。该漏洞CVSS评分为10.0,已在野外被积极利用,CISA KEV列表已将其列入,并设定了3天的修复截止日期。WatchTowr Labs提供了公开的概念验证(PoC)。 影响范围 受影响版本:Ivanti Sentry 版本在RI0.5.2、RI0.6.2和RI0.7.1之前(所有RI0.5.x、RI0.6.x、RI0.7.x系列) 修复版本:RI0.5.2、RI0.6.2、RI0.7.1 利用情况:已在野外确认利用,CISA KEV列表于2026年6月11日列入,3天修复截止日期为6月14日 PoC:来自WatchTowr Labs的公开PoC 修复方案 1. 立即修补:升级Ivanti Sentry至RI0.5.2、RI0.6.2或RI0.7.1。补丁通过硬编码命令输入和添加Apache重写规则来阻止未授权访问,并返回302重定向。 2. 限制网络访问:如果修补需要时间,使用防火墙规则限制对Sentry HTTPS端口的访问,仅允许来自受信任管理网络的访问。阻止对 路径的所有外部访问。 3. 尽可能使用mTLS:Ivanti指出,使用mTLS与EPPM或受限HTTPS通过Neurons for MDM的部署减少了暴露,因为易受攻击的接口不是外部可访问的。 4. 检查妥协指标:审查Sentry日志中的POST请求至 。查找意外系统进程、新用户账户或修改的配置文件——RCE以根用户运行。 5. 并行处理CVE-2026-10523:认证绕过(CVSS 9.8)允许攻击者创建任意管理员账户并获得对Sentry设备的完全管理访问。两个漏洞影响相同的版本,需要相同的补丁。 6. 审计您的EPPM基础设施:如果Sentry被利用,攻击者可能已访问EPPM、Exchange或其他内部服务。审查EPPM日志、Exchange邮件流规则和Active Directory以检测横向移动指标。 相关漏洞 CVE-2026-10523(认证绕过) 同一公告中的CVE-2026-10523(CVSS 9.8)是一个单独的认证绕过漏洞,允许远程未认证攻击者创建任意管理员账户并获得对Sentry设备的完全管理访问。两个漏洞影响相同的版本,需要相同的补丁。WatchTowr PoC涵盖两个CVE。 调查工作流 1. 端口扫描:查找Sentry设备 - Ivanti Sentry默认监听端口8443(HTTPS)。扫描DMZ和外围子网以查找此端口。 - 检查: - 8443 - Sentry HTTPS(主要 - MICS Web应用程序) - 443 - 可能通过反向代理使用 - 9999 - Sentry管理控制台(某些部署) - DMZ段中端口8443开放的任何主机都值得进一步调查。 2. TLS检查:识别Ivanti证书 - 从端口8443提取TLS证书。Ivanti Sentry设备通常使用自签名证书,具有以下特征: - 主题或颁发者字段包含“Ivanti”、“MobileIron”或“Sentry” - 最初颁发给MobileIron(预收购命名) - 非标准HTTPS端口上的自签名证书 3. HTTP头:指纹识别MICS应用程序 - 易受攻击的应用程序在Tomcat服务器上运行,路径为 。探测: - - Sentry登录页面(返回Spring Boot应用程序响应) - 修补实例返回302重定向到登录页面,而未修补实例返回200 - Tomcat和Spring Boot指示符在响应头中 - 登录页面和错误消息中的Ivanti或MobileIron品牌 4. DNS:发现Sentry基础设施 - 查询常见Sentry命名模式的内部DNS: 、 、 、 、 、 。Sentry设备通常与EPPM基础设施一起部署,因此查找类似 或 的相关主机——它们可能指向相同的部署。 5. CVE查找:确认公告 - 使用RECON的CVE查找功能获取CVE-2026-10520的完整NVD条目。CISA KEV列表于6月14日截止日期后列出联邦机构和组织,遵循BOD 25-04的3天修复要求。检查CVE-2026-10523——两个漏洞影响相同的版本,需要相同的补丁。 与外部数据的交叉引用 SHODAN:搜索“MobileIron”端口8443或“Ivanti”端口8443以查找互联网暴露实例 CVE查找:检查CVE-2026-10520和CVE-2026-10523的NVD以获取更新的评分 CISA KEV:两个CVE都已列入——修复截止日期为2026年6月14日 IVANTI公告:安全公告 - Ivanti Sentry 来源 Ivanti安全公告 CVE-2026-10520 和 CVE-2026-10523 NVD: CVE-2026-10520 NVD: CVE-2026-10523 WatchTowr Labs: Ivanti Sentry Pre-Auth RCE分析 CISA已知利用漏洞目录 --- 注意:页面中未提供具体的PoC代码块,但提到了来自WatchTowr Labs的公开PoC。