Ivanti が 6 月 9 日に公表した EMM 製品 Sentry の未認証 OS コマンドインジェクション脆弱性 CVE-2026-10520 (CVSS 10.0) が、watchTowr Labs の PoC が公開された 6 月 10 日の翌日には実攻撃で悪用され始めたと Bleeping Computer が伝えました。Shadowserver はインターネットに露出した 19 インスタンスのうち少なくとも 2 台でバックドア設置を確認しています。
主なポイント
- 影響範囲は Sentry 10.5.1 / 10.6.1 / 10.7.0 以前。修正版は 10.5.2 / 10.6.2 / 10.7.1
- 攻撃点は ConfigServiceController 経由のエンドポイント
/mics/api/v2/sentry/mics-config/handleMessageで、認証もユーザー操作も不要 - 成立すると root 権限の RCE となり、企業のモバイル管理ゲートウェイが乗っ取られる
- 併せて公表された CVE-2026-10523 (CVSS 9.9) も同系統。Rapid7 と Ivanti は通常パッチサイクル外での即時更新を強く推奨
出典: Max severity Ivanti Sentry vulnerability now exploited in attacks (BleepingComputer)