Penjelasan teknis
Ivanti Sentry (sebelumnya MobileIron Sentry) berisi kerentanan OS command injection pra-autentikasi (CWE-78, CVSS 10.0) di endpoint /mics/api/v2/sentry/mics-config/handleMessage. Kontroler Spring Boot menerima parameter 'message' yang disediakan pengguna dan meneruskannya tanpa sanitasi ke layanan penanganan konfigurasi, memungkinkan penyerang jarak jauh yang tidak terotentikasi untuk menjalankan perintah OS arbitrer dengan hak istimewa root. Ivanti mengungkapkan kerentanan pada 9 Juni bersama dengan CVE-2026-10523 (authentication bypass, CVSS 9.9). WatchTowr menerbitkan analisis teknis lengkap dan PoC pada 10 Juni. Shadowserver mengamati eksploitasi aktif dan dua instans yang dirusak dalam 24 jam setelah rilis PoC.
Vektor serangan
HTTP POST yang tidak terotentikasi ke /mics/api/v2/sentry/mics-config/handleMessage — dapat dieksploitasi dari internet di mana pun antarmuka manajemen Sentry dapat dijangkau. Tidak ada autentikasi, device fingerprinting, atau kondisi khusus yang diperlukan. Operator penyerang memiliki inventaris aset Ivanti yang sudah dipersiapkan sebelumnya dan meluncurkan eksploitasi segera setelah ketersediaan PoC.
Sistem yang terdampak
Ivanti Sentry versi 10.5.1, 10.6.1, 10.7.0 dan semua versi sebelumnya. Sentry berfungsi sebagai gateway mobile-ke-enterprise inline untuk lalu lintas email, VPN, dan aplikasi dan biasanya menghadap internet.
Mitigasi
Tingkatkan ke Ivanti Sentry R10.5.2, R10.6.2, atau R10.7.1 segera. Agensi federal harus melakukan remediasi pada 14 Juni sesuai dengan CISA BOD 26-04. WatchTowr telah merilis skrip deteksi. Sebelum menerapkan patch, lakukan pemeriksaan kompromi sesuai dengan panduan BOD 26-04 — penerapan patch tidak mengeluarkan penyerang yang sudah ada. Prioritaskan instans yang dapat diakses dari internet.