Mija kilkanaście godzin od opublikowania działającego kodu exploita, a podatne urządzenia już są przejmowane — tak wyglądał scenariusz ostatnich dni wokół luki CVE-2026-10520 w produkcie Ivanti Sentry. Błąd otrzymał maksymalną możliwą ocenę 10.0 w skali CVSS, a to oznacza najgroźniejszą kategorię podatności: nieuwierzytelniony, zdalny napastnik może wykonać dowolne polecenia systemowe z uprawnieniami administratora (root) na urządzeniu. Fundacja Shadowserver, która monitoruje takie zagrożenia w skali globalnej, potwierdziła pierwsze zbackdoorowane bramki w ciągu 24 godzin od udostępnienia publicznego proof-of-concept. To podręcznikowy przykład, jak szybko teoretyczna luka zamienia się w realne włamania.
Czym jest Ivanti Sentry i dlaczego to taki łakomy kąsek
Ivanti Sentry to brama, która stoi „w środku” — pomiędzy flotą urządzeń mobilnych pracowników a firmowymi systemami zaplecza. Pośredniczy w dostępie do poczty, kalendarzy i aplikacji korporacyjnych, weryfikując ruch z telefonów i tabletów, zanim trafi on do wewnętrznej infrastruktury. Z tego powodu przejęcie Sentry na poziomie roota jest w praktyce równoznaczne z nieograniczonym dostępem do każdej skrzynki pocztowej, kalendarza i aplikacji, które to urządzenie obsługuje. Napastnik nie musi już łamać kolejnych zabezpieczeń — siedzi w punkcie, przez który przepływa cały firmowy ruch mobilny.
Na czym polega błąd
Luka to klasyczne wstrzyknięcie poleceń systemowych (OS Command Injection, CWE-78). Podatny punkt końcowy API przyjmował żądania POST pod adresem /mics/api/v2/sentry/mics-config/handleMessage — i robił to bez żadnego uwierzytelnienia. Innymi słowy, nie trzeba było znać hasła ani posiadać konta; wystarczyło wysłać odpowiednio spreparowane żądanie do urządzenia widocznego w internecie, aby uruchomić na nim własne polecenia. Problem dotyczy wersji 10.5.1, 10.6.1, 10.7.0 oraz wcześniejszych. Producent wydał już poprawki w wydaniach 10.5.2, 10.6.2 i 10.7.1.
Skala i tempo ataków
To, co najbardziej niepokoi w tej sprawie, to tempo. Shadowserver odnotował liczne próby wykorzystania CVE-2026-10520 niemal natychmiast po publikacji kodu PoC. W samych skanach fundacji wykryto kilkanaście podatnych instancji, z których część była już zaplecziona złośliwym kodem. Schemat jest typowy dla urządzeń brzegowych: badacze publikują dowód koncepcji, a w ciągu godzin grupy przestępcze masowo skanują internet w poszukiwaniu niezałatanych celów. Każda firma, która zwleka z aktualizacją choćby jeden dzień, gra w ruletkę z coraz gorszymi szansami.
Co zrobić od razu
Najpilniejszą czynnością jest aktualizacja Ivanti Sentry do jednej z załatanych wersji (10.5.2, 10.6.2 lub 10.7.1). To absolutny priorytet, jeśli urządzenie jest dostępne z internetu.
Jeśli natychmiastowa aktualizacja nie jest możliwa, ogranicz dostęp do panelu zarządzania i podatnego endpointu wyłącznie do zaufanych adresów IP, najlepiej chowając urządzenie za VPN-em zamiast wystawiać je publicznie.
Ponieważ luka była już aktywnie wykorzystywana, samo załatanie nie wystarczy — trzeba założyć, że urządzenie mogło zostać skompromitowane. Przejrzyj logi pod kątem podejrzanych żądań do wskazanego endpointu, poszukaj nieznanych procesów, kont i zadań cyklicznych, a w razie wątpliwości potraktuj urządzenie jako naruszone i odtwórz je od czystej instalacji.
Na koniec zrotuj wszystkie poświadczenia i certyfikaty, do których urządzenie miało dostęp, oraz włącz monitoring ruchu wychodzącego, by wychwycić ewentualną komunikację backdoora z serwerem napastnika.
Podsumowanie
CVE-2026-10520 to przypomnienie, że urządzenia brzegowe — bramy, koncentratory VPN i systemy pośredniczące — są dziś jednym z ulubionych celów napastników, bo z definicji muszą być dostępne z zewnątrz. Maksymalna ocena 10.0, brak wymogu uwierzytelnienia i błyskawiczne przejście od PoC do realnych włamań składają się na scenariusz, w którym liczy się każda godzina. Jeśli korzystasz z Ivanti Sentry, dzisiaj jest najlepszy moment, by zweryfikować wersję, zainstalować poprawkę i sprawdzić, czy nikt nie zdążył już zostawić sobie tylnej furtki.