Ivanti alerta clientes do Sentry sobre patches para falhas críticas nas versões 10.0 e 9.9

A Ivanti emitiu um alerta crítico em 9 de junho de 2026 sobre duas falhas de gravidade extrema no Ivanti Sentry — anteriormente MobileIron Sentry — que afetam todas as versões anteriores a R10.5.2, R10.6.2 e R10.7.1, incluindo especificamente as versões 10.0 e 9.9. As vulnerabilidades identificadas como CVE-2026-10520 (CVSS 10.0) e CVE-2026-10523 (CVSS 9.9) permitem execução remota de código com privilégios de root e criação não autenticada de contas administrativas, respectivamente. Em 10 de junho de 2026, a equipe da watchTowr divulgou uma análise técnica detalhada da CVE-2026-10520 com prova de conceito funcional, aumentando significativamente o risco de exploração em larga escala por ameaças reais.

O Ivanti Sentry é um gateway de segurança essencial para ambientes corporativos com dispositivos móveis, responsável por criptografar e controlar o tráfego entre endpoints e sistemas de back-end como Exchange, SharePoint e ERP. Sua comprometimento pode levar ao roubo de credenciais, tokens de sessão, interceptação de e-mails corporativos e movimentação lateral em redes. Historicamente, o produto já constou duas vezes na lista CISA KEV (Known Exploited Vulnerabilities), reforçando seu histórico de exposição: CVE-2023-38035 (2023) e CVE-2020-15505 (2020). A CISA já orientou agências federais norte-americanas a priorizarem correções em equipamentos Ivanti devido ao padrão de exploração ativa.

Essas falhas são particularmente perigosas porque exigem apenas acesso de rede — sem necessidade de autenticação prévia — e concedem controle total sobre o gateway. Diferentemente de vulnerabilidades que exigem interação do usuário ou credenciais válidas, CVE-2026-10520 e CVE-2026-10523 podem ser exploradas remotamente por qualquer atacante com conectividade à interface exposta do Sentry, tornando-as ideais para campanhas automatizadas de varredura e comprometimento em massa. Organizações que mantêm o Sentry em versões antigas (como 9.9 ou 10.0) e com interfaces públicas ou acessíveis via VPN estão em risco imediato, especialmente após a divulgação pública da PoC pela watchTowr. O fato de o produto já ter sido alvo recorrente de ataques avançados — inclusive por grupos APT — eleva o nível de urgência para a aplicação dos patches R10.5.2, R10.6.2 e R10.7.1.

Para equipes de desenvolvimento e operações de segurança (DevSecOps), essa situação exige revisão imediata dos pipelines de atualização e inventário de ativos: é necessário identificar todos os servidores Sentry em produção, verificar sua versão exata (não apenas '10.x', mas a build completa), e validar se há expostos em redes perimetrais ou DMZs. A correção envolve atualização para as versões corrigidas — não há mitigação eficaz via configuração ou firewall, pois as falhas residem na lógica de autenticação e execução da API Tomcat integrada. Além disso, é recomendável auditoria de logs para detecção de tentativas de exploração de endpoints /mics/ ou /api/v1/admin — padrões associados às CVEs. Equipes devem também rever políticas de ciclo de vida de software: o Sentry 9.9 e 10.0 estão fora do suporte estendido, o que significa ausência de patches futuros e maior exposição a novas vulnerabilidades.