Falha crítica no Ivanti Sentry com nota máxima no CVSS expõe empresas a execução remota de código
Uma falha de segurança classificada como crítica foi identificada no Ivanti Sentry, antiga solução MobileIron Sentry, permitindo que atacantes executem comandos arbitrários de forma remota e sem qualquer autenticação prévia. Catalogada como CVE-2026-10520, a vulnerabilidade recebeu pontuação CVSS 10.0, a mais alta possível, indicando risco extremo para as organizações que utilizam o produto em versões desatualizadas.
O Ivanti Sentry atua como um gateway entre dispositivos móveis e sistemas internos da empresa, gerenciando, criptografando e protegendo o tráfego que passa entre smartphones, tablets e aplicações corporativas. Por estar posicionado na borda da rede e lidar diretamente com conexões a recursos sensíveis, qualquer comprometimento desse componente pode abrir uma porta privilegiada para o ambiente interno da organização.
A vulnerabilidade CVE-2026-10520 afeta especificamente versões do Ivanti Sentry anteriores às releases R10.5.2, R10.6.2 e R10.7.1. Em outras palavras, qualquer instalação que não tenha sido atualizada para, pelo menos, essas versões está potencialmente exposta. Os pesquisadores enfatizam que a exploração pode ser feita de forma totalmente não autenticada, o que reduz substancialmente as barreiras de entrada para um atacante, ampliando o risco de ataques em larga escala.
Além dessa falha, foi identificada uma segunda vulnerabilidade grave, registrada como CVE-2026-10523. Esse outro problema permite a criação de contas administrativas arbitrárias por um invasor remoto não autenticado, concedendo, na prática, controle administrativo completo sobre o sistema afetado. Em conjunto, as duas vulnerabilidades formam uma combinação extremamente perigosa: de um lado, execução remota de código em nível de root; de outro, a possibilidade de obtenção de credenciais e acesso administrativo total.
As descobertas foram creditadas ao pesquisador Bryan Lam, e os detalhes técnicos foram analisados por uma equipe especializada em segurança ofensiva. A Ivanti, que em 2020 incorporou a MobileIron e a Pulse Secure como parte de sua estratégia de ampliar o portfólio em zero trust, nuvem e segurança de TI, já disponibilizou correções para os problemas nas versões mencionadas do Ivanti Sentry. A responsabilidade pela mitigação, no entanto, recai agora sobre as equipes de TI e segurança das empresas que ainda não aplicaram os patches.
Onde está a falha e como o ataque funciona na prática
O ponto central da vulnerabilidade CVE-2026-10520 é o endpoint exposto em:
`/mics/api/v2/sentry/mics-config/handleMessage`
Esse endpoint aceita um parâmetro chamado `message`, fornecido pelo usuário, que é encaminhado diretamente para um método de processamento de comandos de configuração. O valor enviado em `message` é analisado, tokenizado e mapeado para variáveis internas como `xpath`, `module` e `command`.
O problema crítico surge quando o campo `command` assume o valor `”execute”`. Nessa condição, o fluxo de execução chega a um método denominado `executeNativeCommand()`. Esse método é responsável por invocar comandos do sistema operacional utilizando mecanismos de reflexão, o que, em tese, deveria ser estritamente controlado. Porém, devido à forma como a entrada do usuário é tratada, torna-se possível manipular essa execução para rodar comandos arbitrários diretamente no servidor.
Na prática, isso significa que um invasor pode enviar uma requisição HTTP POST para o endpoint vulnerável, contendo um comando malicioso no parâmetro `message`. Em demonstrações de prova de conceito, os pesquisadores mostraram que um simples comando como `uname -a` – usado para exibir informações sobre o sistema operacional – é executado com sucesso, retornando a saída diretamente para o atacante. A partir desse ponto, nada impede que comandos mais destrutivos ou furtivos sejam aplicados, incluindo instalação de backdoors, movimentação lateral ou exfiltração de dados.
Como a Ivanti corrigiu as vulnerabilidades
Para mitigar o problema de execução de comandos, a Ivanti adotou duas abordagens complementares. A primeira foi modificar a lógica interna do produto, substituindo a entrada controlada pelo usuário por um comando fixo, que apenas executa `/bin/cat` em um caminho específico do sistema associado ao produto DMI. Dessa forma, a flexibilidade (e o risco) de executar comandos arbitrários é removida, limitando a funcionalidade ao uso previsto pelo fabricante.
A segunda medida foi reforçar a camada de proteção externa, por meio de regras baseadas em expressões regulares (regex) configuradas no servidor Apache que atua em frente ao Ivanti Sentry. Essas regras têm o objetivo de bloquear completamente o acesso ao endpoint vulnerável por requisições não autenticadas, redirecionando qualquer tentativa de acesso indevido para a página de login. Com isso, mesmo que algum resquício de comportamento arriscado permanecesse no código, a exposição direta da função problemática seria reduzida.
Apesar dessas correções, a proteção só é efetiva para organizações que de fato atualizaram o sistema para as versões corrigidas: R10.5.2, R10.6.2 ou R10.7.1 (ou superiores, caso já tenham sido disponibilizadas). Ambientes que continuam rodando versões antigas permanecem vulneráveis e podem ser alvos fáceis para grupos de ataque automatizados.
Por que essa falha é tão crítica para as empresas
A elevada pontuação CVSS 10.0 não é apenas um número. Ela reflete um conjunto de características que tornam essa vulnerabilidade especialmente grave:
– Exploração remota: o atacante não precisa ter acesso físico à rede interna; basta conseguir se comunicar com o endpoint exposto.
– Ausência de autenticação: não são exigidas credenciais válidas para disparar o exploit.
– Privilégios elevados: a execução de código ocorre em nível root, o que concede controle quase absoluto sobre o sistema operacional subjacente.
– Componente de borda: o Ivanti Sentry geralmente está exposto na borda da rede, atuando como ponto de entrada para acessos móveis à infraestrutura interna.
Esse conjunto cria um cenário ideal para ataques massivos e oportunistas, em que bots varrem a internet em busca de instâncias vulneráveis. Uma vez encontrada uma instalação desatualizada, o processo de comprometimento pode ser quase instantâneo.
Riscos práticos: do roubo de dados à interrupção de serviços
Um Ivanti Sentry comprometido pode servir como ponte para uma série de ações maliciosas dentro do ambiente corporativo. Entre os riscos mais prováveis estão:
– Interceptação e manipulação de tráfego entre dispositivos móveis e sistemas internos;
– Roubo de credenciais, tokens de autenticação e dados corporativos sensíveis;
– Movimentação lateral em direção a servidores críticos, bases de dados e aplicações internas;
– Implantação de ransomware, backdoors persistentes ou ferramentas de comando e controle;
– Alteração de políticas de acesso móvel, permitindo que dispositivos não confiáveis acessem recursos internos.
Como o Sentry está posicionado exatamente no caminho de comunicação entre os dispositivos e a infraestrutura, um atacante pode obter uma visão privilegiada e, em muitos casos, em tempo real, do que está trafegando. Essa posição estratégica torna o comprometimento ainda mais preocupante sob o ponto de vista de confidencialidade e integridade dos dados.
A segunda falha: criação de contas administrativas (CVE-2026-10523)
A vulnerabilidade CVE-2026-10523 agrava ainda mais o cenário. Ela permite que um invasor remoto crie contas administrativas arbitrárias, também sem a necessidade de autenticação prévia. Com esse tipo de acesso, o atacante não apenas explora o sistema, como passa a operar “por dentro”, usando credenciais aparentemente válidas para realizar alterações, adicionar novas configurações, modificar políticas e ocultar rastros de forma mais sofisticada.
Na prática, a combinação das duas falhas pode seguir um roteiro perigoso: primeiro, o invasor explora a injeção de comandos para ganhar uma posição no servidor; em seguida, utiliza a capacidade de criar contas administrativas para consolidar o controle e facilitar o acesso futuro, inclusive resistindo a medidas paliativas de correção que não sejam completas.
Recomendações imediatas para equipes de segurança
Diante da criticidade das vulnerabilidades, a primeira medida é óbvia, mas ainda assim frequentemente negligenciada: aplicar as atualizações fornecidas pela Ivanti com a máxima urgência. Equipes de segurança devem:
1. Identificar todas as instâncias do Ivanti Sentry em produção, incluindo ambientes de teste que possam estar expostos.
2. Verificar as versões instaladas e compará-las com as releases corrigidas (R10.5.2, R10.6.2 e R10.7.1).
3. Priorizar a atualização nas instâncias que estiverem expostas diretamente à internet ou em DMZs.
4. Revisar regras de firewall e proxies para restringir o acesso externo desnecessário ao Sentry.
5. Implementar monitoramento específico para tentativas de acesso ao endpoint `/mics/api/v2/sentry/mics-config/handleMessage`.
Além da aplicação dos patches, é recomendável que as organizações conduzam uma análise retrospectiva de logs, em busca de atividades suspeitas associadas ao endpoint vulnerável, especialmente requisições POST incomuns ou padrões de comandos que não façam parte da operação normal.
Detecção e verificação de exposição
Ferramentas especializadas podem auxiliar na identificação de instâncias vulneráveis, mas as equipes também podem criar seus próprios indicadores de comprometimento com base nos comportamentos descritos na análise técnica. Alguns pontos de atenção:
– Requisições vindas de IPs desconhecidos para o endpoint vulnerável;
– Respostas HTTP incomuns que retornem saídas de comandos de sistema;
– Criação inesperada de contas administrativas ou alterações em perfis já existentes;
– Mudanças não planejadas na configuração do gateway ou nas regras de acesso.
A utilização de “artefatos de detecção” – arquivos, padrões de logs, regras de IDS/IPS ou assinaturas para ferramentas de monitoramento – ajuda a automatizar a identificação de tentativas de exploração. Mesmo em ambientes que já foram atualizados, vale monitorar por algum tempo comportamentos associados às vulnerabilidades, para garantir que não houve comprometimento prévio.
Boas práticas para reduzir o impacto de falhas futuras
Embora a vulnerabilidade seja específica do Ivanti Sentry, as lições extraídas se aplicam a qualquer solução de segurança exposta na borda da rede. Algumas boas práticas que podem reduzir o impacto de falhas semelhantes no futuro incluem:
– Manter um inventário atualizado de todos os sistemas e versões em uso, com prioridade especial para soluções de acesso remoto e gateways.
– Adotar um processo formal de gestão de vulnerabilidades, com monitoração contínua de falhas críticas em produtos de terceiros.
– Estabelecer janelas de manutenção regulares para aplicação de patches, com planos claros de rollback.
– Segregar ao máximo os componentes de borda, de forma que um comprometimento não resulte automaticamente em acesso irrestrito à rede interna.
– Implementar o princípio do menor privilégio também para contas administrativas nessas soluções, limitando o que cada perfil pode fazer.
Ivanti, zero trust e a importância de revisar a confiança em fornecedores
A Ivanti se posiciona como uma fornecedora de soluções alinhadas ao conceito de zero trust, que parte da premissa de nunca confiar implicitamente em nenhum usuário ou dispositivo. No entanto, vulnerabilidades como CVE-2026-10520 e CVE-2026-10523 mostram que a confiança em tecnologias e fornecedores também deve ser continuamente revisada.
Organizações que adotam estratégias de zero trust não podem assumir que produtos de segurança estejam imunes a falhas graves. Pelo contrário, justamente por serem componentes críticos, eles precisam estar sob escrutínio reforçado, com validações frequentes, atualizações rápidas e monitoramento constante.
Essa situação reforça a necessidade de uma visão holística de segurança: não basta investir em ferramentas avançadas se o processo de gestão de vulnerabilidades, de resposta a incidentes e de atualização de sistemas não acompanhar o mesmo nível de maturidade.
Conclusão: atualização urgente e vigilância contínua
As vulnerabilidades CVE-2026-10520 e CVE-2026-10523 no Ivanti Sentry representam um risco direto à integridade, confidencialidade e disponibilidade dos ambientes corporativos que dependem da solução para gerenciar o acesso móvel. Com nota máxima no CVSS, execução remota de código em nível root e possibilidade de criação de contas administrativas não autenticadas, o cenário é de alta prioridade para qualquer equipe de segurança.
A resposta adequada passa por três eixos fundamentais: atualização imediata para as versões corrigidas, verificação de possíveis sinais de exploração anterior e fortalecimento de processos de governança de vulnerabilidades. Empresas que agirem rapidamente terão mais chances de evitar incidentes graves ou, ao menos, de detectar e conter tentativas de ataque antes que causem danos irreversíveis.