Критическую уязвимость в Ivanti Sentry, связанную с внедрением команд в операционную систему, уже используют в атаках. Речь о шлюзе, который держит связь между корпоративными системами и удалёнными мобильными устройствами, а в случае успешной атаки злоумышленник получает права root на интернет-выставленном узле.
Исследователи из Shadowserver сообщили, что вскоре после выхода исправления они увидели массовые попытки эксплуатации CVE-2026-10520. По их оценке, часть систем, доступных из интернета, уже получила бэкдор, а администраторы, которые не успели поставить обновление, скорее всего уже скомпрометированы.
История инцидента
Ivanti выпустила исправления для Sentry в версиях R10.5.2, R10.6.2 и R10.7.1. Компания сначала заявила, что не видит признаков атак в дикой среде, но уже на следующий день внешние наблюдатели сообщили об активной эксплуатации.
Сценарий знакомый и неприятный. Как только уязвимость получает рабочий публичный эксплойт, атакующие начинают массово сканировать интернет и бить по системам, которые ещё не обновили. Именно так это уже происходило с другими продуктами Ivanti — от шлюзов до систем управления корпоративными устройствами. Ранее мы уже разбирали, как Microsoft закрыла более 200 уязвимостей и шесть 0-day в июне: общий вывод там тот же, скорость установки патчей решает всё.
Ivanti Sentry — не массовый потребительский сервис, а корпоративный пограничный узел. Поэтому его редко держат под постоянным вниманием обычные пользователи, но именно такие устройства часто становятся удобной дверью в сеть компании.
Что пошло не так в защите
Главная проблема здесь — не только сама уязвимость, но и тип размещения систем. Если шлюз доступен из интернета, он сразу становится заметной мишенью для автоматических сканеров и атак с публичными эксплойтами.
Вторая слабая точка — задержка между выпуском патча и его установкой. В таких случаях у атакующих появляется короткое, но очень выгодное окно: код уже опубликован, а часть инфраструктуры ещё работает на старой версии.
Есть и третий слой риска. Даже если компания видит лишь несколько доступных экземпляров, реальные масштабы могут быть больше: часть адресов не отвечает на сканирование, часть скрыта за фильтрами, часть попала в тень после первых попыток взлома. Поэтому фраза «мы ничего не заметили» в корпоративной сети редко успокаивает.
Уроки для читателя
Для обычного пользователя эта история — не про конкретный шлюз, а про то, как устроен корпоративный риск. Когда компания хранит почту, документы, списки клиентов и внутренние системы за одним пограничным устройством, одна ошибка может открыть злоумышленнику слишком широкий коридор.
Для сотрудников вывод тоже прост: если у компании есть удалённый доступ к рабочим сервисам, стоит относиться к обновлениям так же серьёзно, как к смене пароля. Патч — не косметика, а закрытая дверь.
Если вы часто работаете вне офиса, особенно в дороге или в отелях, важно не только проверить состояние рабочего устройства, но и аккуратно относиться к открытым сетям. Для таких сценариев уместно заранее подготовить [инструмент для приватного подключения в поездках]https://freedome.space), чтобы не оставлять трафик без защиты в кафе, аэропорту или поезде.
Для администраторов эта история ещё жёстче. Нужно не просто поставить обновление, но и проверить, не успели ли атакующие оставить следы: новые учётные записи, странные процессы, неизвестные задания по расписанию, необычные исходящие соединения и изменения в конфигурации шлюза.
Практические выводы и чек-лист
- Проверьте, стоит ли на шлюзе Sentry версия R10.5.2, R10.6.2 или R10.7.1, и обновите систему, если патч ещё не установлен.
- Ограничьте прямой доступ к пограничным корпоративным устройствам из интернета, если это возможно по архитектуре.
- Просмотрите журналы на предмет попыток внедрения команд, неизвестных входов и подозрительных административных действий.
- Проверьте, не появились ли новые учётные записи, задания планировщика и непонятные службы.
- Сравните исходящие подключения шлюза с обычным профилем трафика за последние дни.
- Пересмотрите правила мониторинга, чтобы команда безопасности видела не только саму ошибку, но и признаки закрепления в системе.
- Если сотрудники работают из поездок и с открытых Wi‑Fi, используйте отдельные меры защиты приватности на уровне подключения.
- Прочитайте разбор о том, как компании теряют данные из-за одной уязвимости, и проверьте, не похожа ли ваша схема на такой же сценарий.
Главный вывод здесь простой: критическая уязвимость на периметре — это не повод для спокойного «потом поставим обновление». Это тот случай, когда счёт идёт на часы, а иногда и на минуты.
Комментарии (0)
Будьте уважительны. Спам и ссылки на сторонние сервисы скрываются модерацией.
Пока комментариев нет. Вы можете быть первым.