技術的な説明
Ivanti Sentry(旧MobileIron Sentry)は、/mics/api/v2/sentry/mics-config/handleMessageエンドポイントに、認証前のOSコマンドインジェクション脆弱性(CWE-78、CVSS 10.0)を含む。Spring Bootコントローラーはユーザーが指定した「message」パラメータを受け入れ、これをサニタイズされていない状態でconfiguration-handlingサービスに渡す。これにより、リモートの認証されていない攻撃者がルート権限でOSコマンドを任意に実行できる。Ivanti はCVE-2026-10523(認証バイパス、CVSS 9.9)と共に6月9日に脆弱性を公開。WatchTowrは6月10日に完全な技術分析とPoCを公開。Shadowserverは、PoC公開後24時間以内に活発な悪用と2つのバックドアされたインスタンスを確認。
攻撃経路
/mics/api/v2/sentry/mics-config/handleMessageへの認証なしHTTP POST — Sentry管理インターフェースに到達可能な場所であればインターネットからエクスプロイト可能。認証、デバイスフィンガープリント、または特別な前提条件は不要。攻撃者はIvantiアセットインベントリを事前に準備し、PoC利用可能になると同時にエクスプロイトを実行。
影響を受けるシステム
Ivanti Sentry バージョン10.5.1、10.6.1、10.7.0およびそれ以前のすべてのバージョン。Sentryはメール、VPN、およびアプリケーショントラフィックのモバイル・エンタープライズ間インラインゲートウェイとして機能し、通常はインターネット上に公開される。
緩和策
Ivanti Sentry R10.5.2、R10.6.2、またはR10.7.1に直ちにアップグレードする。連邦機関はCISA BOD 26-04に従い6月14日までに是正する必要がある。WatchTowrは検出スクリプトをリリースした。パッチ適用前に、BOD 26-04ガイダンスに従って侵害チェックを実施する — パッチ適用では既に存在する攻撃者は削除されない。インターネットからアクセス可能なインスタンスを優先する。