Почему CISA дала именно три дня?

Когда уязвимость уже используют в атаках и она попадает в каталог KEV, ведомство требует закрыть её максимально быстро. Трёхдневный срок нужен, чтобы сократить окно для массовой эксплуатации.

Достаточно ли просто установить патч?

Нет. После обновления нужно проверить логи и конфигурацию, потому что злоумышленники могли успеть закрепиться в системе до установки исправления.

Что делать, если обновить шлюз сразу нельзя?

Тогда стоит ограничить внешний доступ, усилить контроль журналов и подготовить план срочного обновления. Но это временная мера, а не замена патчу.

CISA потребовала срочно закрыть дыру в Ivanti Sentry

Раньше подобные истории воспринимались как обычный выпуск патча: вышло обновление, администраторы ставят его по плану, а дальше всё зависит от внутренних регламентов. Теперь картина другая — уязвимость в Ivanti Sentry уже используют в атаках, а CISA требует закрыть её за три дня.

Речь идёт о CVE-2026-10520 — ошибке внедрения команд операционной системы в шлюзе безопасности Ivanti Sentry, который раньше назывался MobileIron Sentry. После публикации исправления исследователи из Shadowserver сообщили, что злоумышленники успели закрепиться на части шлюзов, доступных из интернета.

Что произошло и почему это важно

CISA внесла CVE-2026-10520 в каталог известных эксплуатируемых уязвимостей KEV и обязала федеральные гражданские ведомства США закрыть дыру в течение трёх дней. Для критичных и внешне доступных систем это жёсткий сигнал: откладывать установку патча больше нельзя.

По данным Shadowserver, в сети видно чуть больше 50 админских порталов Sentry, но реальное число уязвимых экземпляров может быть выше. Организации часто режут доступ сканерам безопасности, поэтому наблюдаемая картина не всегда совпадает с реальным масштабом проблемы.

Ivanti пока не обновила своё предупреждение и не подтвердила, что проблема активно используется в атаках. Но для администраторов это уже вторично: если сервис смотрит в интернет и патч не установлен, окно риска открылось.

Какие есть варианты защиты

1. Срочно поставить патч

Это самый прямой и правильный путь. Если Sentry нужен для работы, его нужно обновить без лишней задержки, а после — проверить журналы, конфигурацию и признаки посторонней активности.

Плюс очевиден: вы закрываете известную дыру до того, как её начнут шире использовать автоматические средства атаки. Минус тоже понятен — на крупных инфраструктурах обновление нужно согласовать, протестировать и иногда провести в окно обслуживания.

2. Временно убрать систему из интернета

Если шлюз не должен быть доступен извне постоянно, его лучше спрятать за корпоративным контуром или ограничить доступ по списку адресов. Такой подход снижает вероятность массовых атак, особенно когда уязвимость уже попала в поле зрения злоумышленников.

Но это не замена патчу. Это лишь передышка, если обновить систему сразу не получается. Для сервисов удалённого доступа такая мера может потребовать перенастройки и повлиять на пользователей.

3. Проверить следы компрометации

Shadowserver уже пишет о признаках закрепления атакующих на части шлюзов. Значит, одной установкой исправления ограничиваться нельзя: нужен просмотр логов, учётных записей, заданий планировщика и любых изменений в конфигурации.

Этот вариант особенно важен для организаций, которые тянули с обновлением. Если атака уже прошла, патч только закрывает входную дверь, но не выгоняет того, кто успел войти.

4. Пересмотреть роль уязвимых шлюзов

Иногда главный вопрос не в том, как быстрее закрыть одну дыру, а в том, нужен ли продукт в таком виде вообще. CISA прямо советует в ряде случаев следовать своим директивам по облачным сервисам или отказаться от использования продукта, если компенсирующих мер нет.

Это уже стратегия для зрелых команд: снизить зависимость от одного внешнего узла, разделить доступы и не держать критичный сервис без контроля. Подход затратный, но он экономит время, когда очередной эксплойт выходит в публичный оборот.

Кому какой подход подходит

Малому и среднему бизнесу чаще всего достаточно двух шагов: быстро поставить обновление и проверить журналы на аномалии. Если шлюз торчит наружу, оттягивать нельзя даже на сутки.

Крупным компаниям и госструктурам нужен более тяжёлый сценарий. Им придётся синхронизировать патч, мониторинг, сегментацию сети и резервный план на случай, если сервис придётся временно отключить.

Домашним пользователям эта история полезна как напоминание: если устройство или сервис управляет удалённым доступом, его тоже нужно обновлять без пауз. В похожих разборках мы уже писали, как CISA внесла уязвимость LiteLLM в каталог KEV после атак, а в материале Ivanti Sentry снова под ударами: что сломалось в защите шлюзов подробно разбирали, почему такие продукты особенно часто становятся целью.

Что делать прямо сейчас

Если у вас в инфраструктуре есть Ivanti Sentry или похожий шлюз, действуйте по чек-листу ниже. Это не те случаи, где можно отложить проверку до следующей недели.

Проверьте, стоит ли последний патч на всех экземплярах Ivanti Sentry.
Посмотрите, доступен ли шлюз из интернета без лишних ограничений.
Изучите журналы на предмет подозрительных входов, новых учётных записей и необычных команд.
Проверьте, не появились ли неизвестные задания, скрипты или изменения конфигурации.
Ограничьте внешний доступ, если сервис не должен быть открыт всем подряд.
Подготовьте план отката и резервную схему на случай остановки шлюза.
Если вы часто работаете вне офиса, заранее настройте дополнительный слой защиты для банковских и корпоративных сессий через защищённый канал для выездной работы.
Назначьте ответственного за контроль статуса патчей и повторную проверку через несколько дней.

Комментарии (0)

Будьте уважительны. Спам и ссылки на сторонние сервисы скрываются модерацией.

Пока комментариев нет. Вы можете быть первым.

Оставить комментарий

Имя — 2–40 символов и хотя бы одна буква. Комментарий — без HTML, без оскорблений и ненормативной лексики.

Имя Комментарий 0 / 4000

Защита от ботов: 4 − 2 =

CISA потребовала срочно закрыть дыру в Ivanti Sentry

Что произошло и почему это важно