Ivanti corrige falhas de severidade máxima no Sentry

A Ivanti corrigiu duas vulnerabilidades críticas no Ivanti Sentry — anteriormente MobileIron Sentry — divulgadas publicamente em 10 de junho de 2026, após o lançamento dos patches em 9 de junho. A falha mais grave, CVE-2026-10520, é uma injeção de comando de sistema operacional com pontuação CVSS 10,0 (máxima), permitindo que atacantes não autenticados executem código arbitrário com privilégios de root remotamente. A segunda, CVE-2026-10523, tem CVSS 9,9 e permite bypass de autenticação para criação de contas administrativas falsas sem credenciais — concedendo acesso total ao appliance. As versões corrigidas são R10.5.2, R10.6.2 e R10.7.1; todas as versões anteriores a essas (incluindo 10.7.0, 10.6.1 e 10.5.1) estão vulneráveis.

Pesquisadores da watchTowr já publicaram análise técnica detalhada do CVE-2026-10520 com exploit de prova de conceito (PoC), elevando significativamente o risco de exploração em larga escala. Apesar de a Ivanti afirmar não ter conhecimento de explorações ativas na natureza no momento da divulgação, o histórico de exploração de falhas Ivanti — como as listadas na CISA KEV (CVE-2023-38035 e CVE-2020-15505) e a ordem de correção emergencial de maio de 2026 para o EPMM — reforça a urgência da atualização.

O Ivanti Sentry é um gateway móvel seguro amplamente implantado em ambientes corporativos brasileiros e globais para gerenciar acesso seguro a aplicações empresariais por dispositivos móveis e endpoints. Sua comprometimento permite não apenas o controle total do appliance, mas também o pivô para redes internas, exfiltração de dados sensíveis (como credenciais de acesso a sistemas ERP, RH e financeiros) e uso como ponto de entrada para ransomware. Diferentemente de vulnerabilidades que exigem autenticação prévia, ambas as falhas — CVE-2026-10520 e CVE-2026-10523 — são exploráveis remotamente sem qualquer credencial, tornando-as especialmente perigosas em ambientes com exposição à internet ou com políticas de firewall permissivas.

No Brasil, onde soluções Ivanti são usadas por grandes bancos, operadoras e órgãos públicos, a demora na aplicação dos patches pode expor infraestruturas críticas a ataques direcionados. A CISA já incluiu o Sentry duas vezes na sua lista de Vulnerabilidades Exploradas Ativamente (KEV), o que significa que falhas anteriores desse mesmo produto foram confirmadas em ciberataques reais — um indicador forte de que CVE-2026-10520 e CVE-2026-10523 têm alto potencial de serem incorporadas rapidamente em kits de exploração automatizados.

Para equipes de desenvolvimento e segurança (DevSecOps), essas falhas reforçam a necessidade crítica de monitoramento contínuo de dependências de appliances de terceiros — especialmente quando integram pipelines CI/CD ou APIs de identidade. A ausência de autenticação prévia na exploração de CVE-2026-10520 e CVE-2026-10523 exige revisão imediata de arquiteturas que confiam cegamente no Sentry como 'fronteira segura': isso inclui validação de entradas em integrações via REST, auditoria de logs de acesso não autenticado e revisão de regras de WAF para bloqueio de padrões típicos de injeção (ex.: $(...), `...`, |, ;). Desenvolvedores devem priorizar testes de penetração em ambientes de homologação com as versões corrigidas (R10.5.2 / R10.6.2 / R10.7.1) antes de qualquer rollout em produção.

Além disso, a existência de PoC público para o CVE-2026-10520 exige que equipes técnicas implementem detecção proativa em SIEMs (ex.: regras YARA/Sigma para payloads de comando remoto no tráfego HTTP para /sentry/*) e atualizem scanners de vulnerabilidades (ex.: Nessus, Qualys) com os últimos plugins — já disponíveis desde 11 de junho de 2026. Ignorar essa atualização coloca diretamente em risco a conformidade com a LGPD, PCI-DSS e ISO 27001, pois falhas de severidade máxima não corrigidas configuram falha grave na gestão de riscos de segurança da informação.