CISA exige correção em 72h de falha crítica no Ivanti Sentry já explorada em ataques reais

A Ivanti Sentry é um gateway de segurança perimetral crítico em arquiteturas de acesso zero trust, especialmente em ambientes que usam MDM (Mobile Device Management) e ZTNA. Sua falha CVE-2026-10520 não é só uma injeção remota: ela permite execução de código como root via porta 8443, sem autenticação, expondo credenciais de sessão, tokens OAuth e até chaves de API armazenadas no sistema. Isso transforma o Sentry de barreira de defesa em ponto de entrada para movimentação lateral direta para e-mail corporativo, AD e sistemas financeiros.

O risco real está na configuração típica: muitas empresas expõem a porta 8443 por trás de firewalls legados ou WAFs mal ajustados, acreditando que 'não está na internet'. Mas a Shadowserver já detectou instâncias acessíveis via IPv6, túneis DNS e até redirecionamentos em CDNs, camadas que não aparecem em varreduras tradicionais. A CISA não está exigindo apenas patch: está exigindo reavaliação imediata da superfície de ataque de todos os gateways de identidade e acesso.

Na cobertura CEVIU de 2026-06-15, destacamos a BOD 26-04 como uma nova diretiva de gestão de vulnerabilidades baseada em risco, mas ainda como orientação teórica. Agora, com a CVE-2026-10520, ela virou o primeiro caso prático de aplicação obrigatória: três dias, sem exceções. Diferente das falhas anteriores da Palo Alto ou Check Point, esta não depende de configuração obsoleta (como IKEv1) nem de versão antiga, afeta todas as versões até 10.7.0, inclusive instâncias recém-instaladas com padrão de fábrica. E o pior: o PoC público foi divulgado em 10/06, e em 11/06 já havia evidência forense de comprometimento em produção, não mais 'tentativas', mas 'pós-exploração' confirmada.

Empresas que usam Ivanti Sentry não são apenas alvos: são pivôs. Um único gateway comprometido pode servir como ponte para invadir domínios Active Directory gerenciados pelo Ivanti EPMM, contas de e-mail do Microsoft 365 sincronizadas via Neurons, e até APIs de pagamento integradas ao MobileIron. Não se trata de atualizar um aparelho, é revalidar toda a cadeia de confiança entre perímetro, identidade e nuvem. Para equipes de governança de TI, isso significa revisar SLAs de fornecedores, validar políticas de exposição de portas em arquiteturas híbridas e exigir relatórios de conformidade de configuração, não só de versão de software.